Configuración de conexiones ExpressRoute y de sitio a sitio coexistentes con PowerShellConfigure ExpressRoute and Site-to-Site coexisting connections using PowerShell

En este artículo se le ayuda a configurar conexiones ExpressRoute y VPN de sitio a sitio que coexisten.This article helps you configure ExpressRoute and Site-to-Site VPN connections that coexist. Tener la posibilidad de configurar VPN de sitio a sitio y ExpressRoute tiene varias ventajas.Having the ability to configure Site-to-Site VPN and ExpressRoute has several advantages. Puede configurar una VPN de sitio a sitio como una ruta de acceso seguro de conmutación por error para ExpressRoute, o bien usar las VPN de sitio a sitio para conectarse a sitios que no están conectados mediante ExpressRoute.You can configure Site-to-Site VPN as a secure failover path for ExpressRoute, or use Site-to-Site VPNs to connect to sites that are not connected through ExpressRoute. En este artículo trataremos los pasos para configurar ambos escenarios.We will cover the steps to configure both scenarios in this article. Este artículo se aplica al modelo de implementación de Resource Manager.This article applies to the Resource Manager deployment model.

La configuración de las conexiones coexistentes de VPN de sitio a sitio y ExpressRoute tiene varias ventajas:Configuring Site-to-Site VPN and ExpressRoute coexisting connections has several advantages:

  • Puede configurar una VPN de sitio a sitio como una ruta de conmutación por error segura para ExpressRoute.You can configure a Site-to-Site VPN as a secure failover path for ExpressRoute.
  • Si lo desea, también puede usar redes VPN de sitio a sitio para conectarse a los sitios que no están conectados mediante ExpressRoute.Alternatively, you can use Site-to-Site VPNs to connect to sites that are not connected through ExpressRoute.

En este artículo, se explican los pasos para configurar ambos escenarios.The steps to configure both scenarios are covered in this article. Este artículo se aplica al modelo de implementación de Resource Manager y utiliza PowerShell.This article applies to the Resource Manager deployment model and uses PowerShell. También puede configurar estos escenarios con Azure Portal, aunque la documentación aún no está disponible.You can also configure these scenarios using the Azure portal, although documentation is not yet available. Puede configurar cualquier puerta de enlace en primer lugar.You can configure either gateway first. Normalmente, no se incurrirá en ningún tiempo de inactividad cuando se agrega una nueva puerta de enlace o una conexión de puerta de enlace.Typically, you will incur no downtime when adding a new gateway or gateway connection.

Nota

Si desea crear una VPN de sitio a sitio a través de un circuito de ExpressRoute, consulte este artículo.If you want to create a Site-to-Site VPN over an ExpressRoute circuit, please see this article.

Límites y limitacionesLimits and limitations

  • No se admite el enrutamiento transitorio.Transit routing is not supported. No se puede realizar un enrutamiento (a través de Azure) entre una red local conectada a través de una VPN sitio a sitio y una red local conectada a través de ExpressRoute.You cannot route (via Azure) between your local network connected via Site-to-Site VPN and your local network connected via ExpressRoute.
  • No se admite la puerta de enlace de la SKU de nivel Básico.Basic SKU gateway is not supported. Debe utilizar una puerta de enlace de la SKU que no sea de nivel Básico tanto para la puerta de enlace de ExpressRoute como para la VPN Gateway.You must use a non-Basic SKU gateway for both the ExpressRoute gateway and the VPN gateway.
  • Solo se admite la VPN Gateway basada en rutas.Only route-based VPN gateway is supported. Debe usar una VPN Gateway basada en rutas.You must use a route-based VPN gateway. También puede usar una VPN Gateway basada en rutas con una conexión VPN configurada para "selectores de tráfico basados en directivas", tal y como se describe en Conexión a varios dispositivos VPN basados en directivas.You also can use a route-based VPN gateway with a VPN connection configured for 'policy-based traffic selectors' as described in Connect to multiple policy-based VPN devices.
  • Se debe configurar una ruta estática para VPN Gateway.Static route should be configured for your VPN gateway. Si la red local está conectada tanto a ExpressRoute como a una VPN de sitio a sitio, debe tener configurada una ruta estática en la red local para enrutar la conexión VPN de sitio a sitio a la red pública de Internet.If your local network is connected to both ExpressRoute and a Site-to-Site VPN, you must have a static route configured in your local network to route the Site-to-Site VPN connection to the public Internet.
  • VPN Gateway se configura de manera predeterminada en ASN 65515 si no se especifica.VPN Gateway defaults to ASN 65515 if not specified. Azure VPN Gateway admite el protocolo de enrutamiento de BGP.Azure VPN Gateway supports the BGP routing protocol. Para especificar el ASN (número AS) de la red virtual, agregue el modificador - Asn.You can specify ASN (AS Number) for a virtual network by adding the -Asn switch. Si no se especifica este parámetro, el número AS predeterminado es 65515.If you don't specify this parameter, the default AS number is 65515. Puede usar cualquier ASN para la configuración, pero si selecciona un valor distinto de 65515, debe restablecer la puerta de enlace para que la configuración surta efecto.You can use any ASN for the configuration, but if you select something other than 65515, you must reset the gateway for the setting to take effect.
  • La subred de la puerta de enlace debe ser /27 o un prefijo más corto, (como /26, /25). De lo contrario, recibirá un mensaje de error al agregar la puerta de enlace de red virtual de ExpressRoute.The gateway subnet must be /27 or a shorter prefix, (such as /26, /25), or you will receive an error message when you add the ExpressRoute virtual network gateway.

Diseños de configuraciónConfiguration designs

Configuración de una VPN de sitio a sitio como una ruta de acceso de conmutación por error para ExpressRouteConfigure a Site-to-Site VPN as a failover path for ExpressRoute

Puede configurar una conexión VPN de sitio a sitio como una copia de seguridad para ExpressRoute.You can configure a Site-to-Site VPN connection as a backup for ExpressRoute. Esta conexión se aplica únicamente a las redes virtuales vinculadas a la ruta de acceso de emparejamiento privado de Azure.This connection applies only to virtual networks linked to the Azure private peering path. No hay ninguna solución de conmutación por error basada en VPN para servicios que sea accesible mediante el emparejamiento de Microsoft Azure.There is no VPN-based failover solution for services accessible through Azure Microsoft peering. El circuito ExpressRoute siempre es el vínculo principal.The ExpressRoute circuit is always the primary link. Los datos fluyen a través de la ruta de acceso de la VPN de sitio a sitio solo si se produce un error en el circuito ExpressRoute.Data flows through the Site-to-Site VPN path only if the ExpressRoute circuit fails. Para evitar el enrutamiento asimétrico, la configuración de red local también debería preferir el circuito ExpressRoute a través de la VPN de sitio a sitio.To avoid asymmetrical routing, your local network configuration should also prefer the ExpressRoute circuit over the Site-to-Site VPN. Si prefiere utilizar la ruta de ExpressRoute, dé mayor preferencia local a las rutas que reciben ExpressRoute.You can prefer the ExpressRoute path by setting higher local preference for the routes received the ExpressRoute.

Nota

Si bien se prefiere el circuito ExpressRoute a la VPN de sitio a sitio cuando ambas rutas son las mismas, Azure utilizará la coincidencia de prefijo más larga para elegir la ruta hacia el destino del paquete.While ExpressRoute circuit is preferred over Site-to-Site VPN when both routes are the same, Azure will use the longest prefix match to choose the route towards the packet's destination.

Coexistencia

Configuración de una VPN de sitio a sitio para conectarse a sitios no conectados mediante ExpressRouteConfigure a Site-to-Site VPN to connect to sites not connected through ExpressRoute

Puede configurar la red para sitios que se conectan directamente a Azure mediante una VPN de sitio a sitio y otros que se conectan a través de ExpressRoute.You can configure your network where some sites connect directly to Azure over Site-to-Site VPN, and some sites connect through ExpressRoute.

Coexistencia

Nota

No se puede configurar una red virtual como un enrutador de tránsito.You cannot configure a virtual network as a transit router.

Selección de los pasos a seguirSelecting the steps to use

Hay dos conjuntos diferentes de procedimientos que puede elegir.There are two different sets of procedures to choose from. El procedimiento de configuración que seleccione depende de si ya tiene una red virtual existente a la que quiere conectarse o si desea crear una nueva.The configuration procedure that you select depends on whether you have an existing virtual network that you want to connect to, or you want to create a new virtual network.

  • No tengo una red virtual y necesito crear una.I don't have a VNet and need to create one.

    Si aún no tiene una red virtual, este procedimiento le guía en la creación de una nueva red virtual mediante el modelo de implementación de Resource Manager y la creación de nuevas conexiones VPN de sitio a sitio y ExpressRoute.If you don’t already have a virtual network, this procedure walks you through creating a new virtual network using Resource Manager deployment model and creating new ExpressRoute and Site-to-Site VPN connections. Para configurar una red virtual, siga los pasos que se describen en Creación de una nueva red virtual y conexiones coexistentes.To configure a virtual network, follow the steps in To create a new virtual network and coexisting connections.

  • Ya tengo una red virtual del modelo de implementación de Resource Manager.I already have a Resource Manager deployment model VNet.

    Puede que ya tenga una red virtual con una conexión VPN de sitio a sitio o una conexión ExpressRoute existentes.You may already have a virtual network in place with an existing Site-to-Site VPN connection or ExpressRoute connection. En este escenario, si la máscara de subred de la puerta de enlace es /28, o menor (/28, /29, etc.), tendrá que eliminar la puerta de enlace existente.In this scenario if the gateway subnet mask is /28 or smaller (/28, /29, etc.), you have to delete the existing gateway. La sección Configuración de conexiones coexistentes para una red virtual existente le guía en la eliminación de la puerta de enlace y la creación de nuevas conexiones VPN de sitio a sitio y ExpressRoute.The To configure coexisting connections for an already existing VNet section walks you through deleting the gateway, and then creating new ExpressRoute and Site-to-Site VPN connections.

    Si elimina y crea de nuevo la puerta de enlace, se producirá un tiempo de inactividad en las conexiones entre locales.If you delete and recreate your gateway, you will have downtime for your cross-premises connections. Sin embargo, si las máquinas virtuales y los servicios están configurados para ello, podrán seguir comunicándose con el exterior a través del equilibrador de carga mientras configura la puerta de enlace.However, your VMs and services will still be able to communicate out through the load balancer while you configure your gateway if they are configured to do so.

Antes de empezarBefore you begin

En los pasos y ejemplos de este artículo se usan módulos de Az de Azure PowerShell.The steps and examples in this article use Azure PowerShell Az modules. Para instalar módulos de Az localmente en el equipo, consulte Instalación de Azure PowerShell.To install the Az modules locally on your computer, see Install Azure PowerShell. Para obtener más información sobre el nuevo módulo Az, consulte Presentación del nuevo módulo Az de Azure PowerShell.To learn more about the new Az module, see Introducing the new Azure PowerShell Az module. Los cmdlets de PowerShell se actualizan con frecuencia.PowerShell cmdlets are updated frequently. Si no está ejecutando la última versión, los valores especificados en las instrucciones pueden dar lugar a errores.If you are not running the latest version, the values specified in the instructions may fail. Para buscar las versiones instaladas de PowerShell en el sistema, use el cmdlet Get-Module -ListAvailable Az.To find the installed versions of PowerShell on your system, use the Get-Module -ListAvailable Az cmdlet.

Puede usar Azure Cloud Shell para ejecutar la mayoría de los cmdlets de PowerShell y comandos de la CLI, en lugar de instalar Azure PowerShell o la CLI de forma local.You can use Azure Cloud Shell to run most PowerShell cmdlets and CLI commands, instead of installing Azure PowerShell or CLI locally. Azure Cloud Shell es un shell interactivo gratuito que tiene herramientas comunes de Azure preinstaladas y se configura para usar con la cuenta.Azure Cloud Shell is a free interactive shell that has common Azure tools preinstalled and is configured to use with your account. Para ejecutar cualquier código contenido en este artículo en Azure Cloud Shell, abra una sesión de Cloud Shell, utilice el botón Copiar en un bloque de código para copiar el código y péguelo en la sesión de Cloud Shell con Ctrl+Mayús+V en Windows y Linux, o Cmd+Mayús+V en macOS.To run any code contained in this article on Azure Cloud Shell, open a Cloud Shell session, use the Copy button on a code block to copy the code, and paste it into the Cloud Shell session with Ctrl+Shift+V on Windows and Linux, or Cmd+Shift+V on macOS. El texto pegado no se ejecuta automáticamente, así que presione Entrar para ejecutarlo.Pasted text is not automatically executed, press Enter to run code.

Hay unas cuantas maneras de iniciar Cloud Shell:There are a few ways to launch the Cloud Shell:

Haga clic en Probarlo en la esquina superior derecha de un bloque de código.Click Try It in the upper right corner of a code block. Cloud Shell en este artículo
Abra Cloud Shell en el explorador.Open Cloud Shell in your browser. https://shell.azure.com/powershell
Haga clic en el botón Cloud Shell en el menú de la parte superior derecha de Azure Portal.Click the Cloud Shell button on the menu in the upper right of the Azure portal. Cloud Shell en el portalCloud Shell in the portal

Creación de una nueva red virtual y conexiones coexistentesTo create a new virtual network and coexisting connections

Este procedimiento le guía en la creación de una red virtual y conexiones de sitio a sitio y ExpressRoute que coexisten.This procedure walks you through creating a VNet and Site-to-Site and ExpressRoute connections that will coexist. Los cmdlets que se usan en esta configuración pueden ser ligeramente diferentes de aquellos con los que podría estar familiarizado.The cmdlets that you use for this configuration may be slightly different than what you might be familiar with. Asegúrese de usar los cmdlets especificados en estas instrucciones.Be sure to use the cmdlets specified in these instructions.

  1. Inicie sesión y seleccione su suscripción.Sign in and select your subscription.

    Si está usando Azure Cloud Shell, iniciará sesión automáticamente en su cuenta de Azure después de hacer clic en "Probar".If you are using the Azure Cloud Shell, you sign in to your Azure account automatically after clicking 'Try it'. Para iniciar sesión de forma local, abra la consola de PowerShell con privilegios elevados y ejecute el cmdlet para conectarse.To sign in locally, open your PowerShell console with elevated privileges and run the cmdlet to connect.

    Connect-AzAccount
    

    Si tiene más de una suscripción, obtenga una lista de las suscripciones de Azure.If you have more than one subscription, get a list of your Azure subscriptions.

    Get-AzSubscription
    

    Especifique la suscripción que desea usar.Specify the subscription that you want to use.

    Select-AzSubscription -SubscriptionName "Name of subscription"
    
  2. Configure las variables.Set variables.

    $location = "Central US"
    $resgrp = New-AzResourceGroup -Name "ErVpnCoex" -Location $location
    $VNetASN = 65515
    
  3. Cree una red virtual, incluida la subred de la puerta de enlace.Create a virtual network including Gateway Subnet. Para más información acerca de cómo crear una red virtual en Azure, consulte Create a virtual network (Creación de una red virtual).For more information about creating a virtual network, see Create a virtual network. Para más información acerca de cómo crear subredes, consulte Incorporación de una subredFor more information about creating subnets, see Create a subnet

    Importante

    La subred de puerta de enlace debe ser /27 o un prefijo más corto (por ejemplo, /26 o /25).The Gateway Subnet must be /27 or a shorter prefix (such as /26 or /25).

    Cree una nueva red virtual.Create a new VNet.

    $vnet = New-AzVirtualNetwork -Name "CoexVnet" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AddressPrefix "10.200.0.0/16"
    

    Agregue subredes.Add subnets.

    Add-AzVirtualNetworkSubnetConfig -Name "App" -VirtualNetwork $vnet -AddressPrefix "10.200.1.0/24"
    Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.0/24"
    

    Guarde la configuración de red virtual.Save the VNet configuration.

    $vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet
    
  4. A continuación, cree la puerta de enlace de la VPN de sitio a sitio.Next, create your Site-to-Site VPN gateway. Para más información sobre la configuración de VPN Gateway, consulte Creación de una red virtual con una conexión de sitio a sitio mediante PowerShell.For more information about the VPN gateway configuration, see Configure a VNet with a Site-to-Site connection. GatewaySku solamente es compatible con las puertas de enlace de VPN VpnGw1, VpnGw2, VpnGw3, Standard y HighPerformance.The GatewaySku is only supported for VpnGw1, VpnGw2, VpnGw3, Standard, and HighPerformance VPN gateways. Las configuraciones de la coexistencia de ExpressRoute-VPN Gateway no se admiten en la SKU de nivel Básico.ExpressRoute-VPN Gateway coexist configurations are not supported on the Basic SKU. El valor de VpnType debe ser RouteBased.The VpnType must be RouteBased.

    $gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
    $gwIP = New-AzPublicIpAddress -Name "VPNGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
    $gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "VPNGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
    New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1"
    

    Azure VPN Gateway admite el protocolo de enrutamiento de BGP.Azure VPN gateway supports BGP routing protocol. Para especificar el ASN (número AS) de la red virtual, agregue el modificador - Asn al siguiente comando.You can specify ASN (AS Number) for that Virtual Network by adding the -Asn switch in the following command. Si no se especifica ese parámetro, el valor predeterminado del número AS será 65515.Not specifying that parameter will default to AS number 65515.

    $azureVpn = New-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "Vpn" -VpnType "RouteBased" -GatewaySku "VpnGw1" -Asn $VNetASN
    

    Puede buscar el IP de emparejamiento BGP y el número de AS que Azure usa para VPN Gateway en $azureVpn.BgpSettings.BgpPeeringAddress y $azureVpn.BgpSettings.Asn de BGP.You can find the BGP peering IP and the AS number that Azure uses for the VPN gateway in $azureVpn.BgpSettings.BgpPeeringAddress and $azureVpn.BgpSettings.Asn. Para más información, consulte Configuración de BGP para Azure VPN Gateway.For more information, see Configure BGP for Azure VPN gateway.

  5. Cree una entidad de puerta de enlace de VPN de sitio local.Create a local site VPN gateway entity. Este comando no configura la puerta de enlace de VPN local.This command doesn’t configure your on-premises VPN gateway. En su lugar, permite proporcionar la configuración de puerta de enlace local, como la dirección IP pública y el espacio de direcciones local, para que la puerta de enlace de VPN de Azure pueda conectarse a ella.Rather, it allows you to provide the local gateway settings, such as the public IP and the on-premises address space, so that the Azure VPN gateway can connect to it.

    Si el dispositivo VPN local solo admite enrutamiento estático, las rutas estáticas se pueden configurar como se indica a continuación:If your local VPN device only supports static routing, you can configure the static routes in the following way:

    $MyLocalNetworkAddress = @("10.100.0.0/16","10.101.0.0/16","10.102.0.0/16")
    $localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress *<Public IP>* -AddressPrefix $MyLocalNetworkAddress
    

    Si el dispositivo VPN local admite el BGP y desea habilitar el enrutamiento dinámico, es preciso que conozca la IP de emparejamiento BGP y el número de AS que usa el dispositivo VPN local.If your local VPN device supports the BGP and you want to enable dynamic routing, you need to know the BGP peering IP and the AS number that your local VPN device uses.

    $localVPNPublicIP = "<Public IP>"
    $localBGPPeeringIP = "<Private IP for the BGP session>"
    $localBGPASN = "<ASN>"
    $localAddressPrefix = $localBGPPeeringIP + "/32"
    $localVpn = New-AzLocalNetworkGateway -Name "LocalVPNGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -GatewayIpAddress $localVPNPublicIP -AddressPrefix $localAddressPrefix -BgpPeeringAddress $localBGPPeeringIP -Asn $localBGPASN
    
  6. Configure el dispositivo VPN local para que se conecte a la nueva puerta de enlace de VPN de Azure.Configure your local VPN device to connect to the new Azure VPN gateway. Para obtener más información sobre la configuración del dispositivo VPN, vea Configuración de dispositivos VPN.For more information about VPN device configuration, see VPN Device Configuration.

  7. Vincule la puerta de enlace de VPN sitio a sitio en Azure a la puerta de enlace local.Link the Site-to-Site VPN gateway on Azure to the local gateway.

    $azureVpn = Get-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName
    New-AzVirtualNetworkGatewayConnection -Name "VPNConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $azureVpn -LocalNetworkGateway2 $localVpn -ConnectionType IPsec -SharedKey <yourkey>
    
  8. Si está conectado a un circuito ExpressRoute existente, omita los pasos 8 y 9 y pase directamente al paso 10.If you are connecting to an existing ExpressRoute circuit, skip steps 8 & 9 and, jump to step 10. Configure los circuitos ExpressRoute.Configure ExpressRoute circuits. Para más información acerca de cómo configurar los circuitos ExpressRoute, consulte Creación de un circuito ExpressRoute.For more information about configuring ExpressRoute circuit, see create an ExpressRoute circuit.

  9. Configure el emparejamiento privado de Azure a través del circuito ExpressRoute.Configure Azure private peering over the ExpressRoute circuit. Para más información acerca de cómo configurar el emparejamiento privado de Azure a través del circuito ExpressRoute, consulte Configuración del emparejamiento.For more information about configuring Azure private peering over the ExpressRoute circuit, see configure peering

  10. Cree una puerta de enlace de ExpressRoute.Create an ExpressRoute gateway. Para más información sobre la configuración de la puerta de enlace de ExpressRoute, consulte Adición de una puerta de enlace de VPN a una red virtual de Resource Manager para una configuración de ExpressRoute.For more information about the ExpressRoute gateway configuration, see ExpressRoute gateway configuration. El valor de GatewaySKU debe ser Standard, HighPerformance o UltraPerformance.The GatewaySKU must be Standard, HighPerformance, or UltraPerformance.

    $gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
    $gwIP = New-AzPublicIpAddress -Name "ERGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
    $gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "ERGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
    $gw = New-AzVirtualNetworkGateway -Name "ERGateway" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -IpConfigurations $gwConfig -GatewayType "ExpressRoute" -GatewaySku Standard
    
  11. Vincule la puerta de enlace de ExpressRoute al circuito ExpressRoute.Link the ExpressRoute gateway to the ExpressRoute circuit. Una vez completado este paso, se ha establecido la conexión entre su red local y Azure a través de ExpressRoute.After this step has been completed, the connection between your on-premises network and Azure, through ExpressRoute, is established. Para más información sobre la operación de vinculación, consulte Vinculación de redes virtuales a circuitos ExpressRoute.For more information about the link operation, see Link VNets to ExpressRoute.

    $ckt = Get-AzExpressRouteCircuit -Name "YourCircuit" -ResourceGroupName "YourCircuitResourceGroup"
    New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $gw -PeerId $ckt.Id -ConnectionType ExpressRoute
    

Para configurar conexiones coexistentes para una red virtual ya existenteTo configure coexisting connections for an already existing VNet

Si tiene una red virtual con una sola una puerta de enlace de red virtual (por ejemplo, una puerta de enlace de VPN de sitio a sitio) y desea agregar una segunda puerta de enlace de otro tipo (por ejemplo, una puerta de enlace de ExpressRoute), compruebe el tamaño de la subred de la puerta de enlace.If you have a virtual network that has only one virtual network gateway (let's say, Site-to-Site VPN gateway) and you want to add another gateway of a different type (let's say, ExpressRoute gateway), check the gateway subnet size. Si la subred de la puerta de enlace es/27, o mayor, puede omitir los pasos siguientes y seguir los de la sección anterior para agregar una puerta de enlace VPN de sitio a sitio o una puerta de enlace de ExpressRoute.If the gateway subnet is /27 or larger, you can skip the steps below and follow the steps in the previous section to add either a Site-to-Site VPN gateway or an ExpressRoute gateway. Si la subred de la puerta de enlace es /28 o /29, primero debe eliminar la puerta de enlace de red virtual y aumentar el tamaño de la subred de la puerta de enlace.If the gateway subnet is /28 or /29, you have to first delete the virtual network gateway and increase the gateway subnet size. Los pasos de esta sección le muestran cómo hacerlo.The steps in this section show you how to do that.

Los cmdlets que se usan en esta configuración pueden ser ligeramente diferentes de aquellos con los que podría estar familiarizado.The cmdlets that you use for this configuration may be slightly different than what you might be familiar with. Asegúrese de usar los cmdlets especificados en estas instrucciones.Be sure to use the cmdlets specified in these instructions.

  1. Elimine la puerta de enlace de la VPN de ExpressRoute o de sitio a sitio.Delete the existing ExpressRoute or Site-to-Site VPN gateway.

    Remove-AzVirtualNetworkGateway -Name <yourgatewayname> -ResourceGroupName <yourresourcegroup>
    
  2. Elimine la subred de puerta de enlace.Delete Gateway Subnet.

    $vnet = Get-AzVirtualNetwork -Name <yourvnetname> -ResourceGroupName <yourresourcegroup> Remove-AzVirtualNetworkSubnetConfig -Name GatewaySubnet -VirtualNetwork $vnet
    
  3. Agregue una subred de puerta de enlace que sea /27 o superior.Add a Gateway Subnet that is /27 or larger.

    Nota

    Si no tiene suficientes direcciones IP en la red virtual para aumentar el tamaño de la subred de puerta de enlace, debe agregar más espacio de direcciones IP.If you don't have enough IP addresses left in your virtual network to increase the gateway subnet size, you need to add more IP address space.

    $vnet = Get-AzVirtualNetwork -Name <yourvnetname> -ResourceGroupName <yourresourcegroup>
    Add-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet -AddressPrefix "10.200.255.0/24"
    

    Guarde la configuración de red virtual.Save the VNet configuration.

    $vnet = Set-AzVirtualNetwork -VirtualNetwork $vnet
    
  4. Ya tiene una red virtual sin puertas de enlace.At this point, you have a virtual network with no gateways. Para crear nuevas puertas de enlace y configurar las conexiones, utilice los siguientes ejemplos:To create new gateways and set up the connections, use the following examples:

    Establezca las variables.Set the variables.

    $gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
    $gwIP = New-AzPublicIpAddress -Name "ERGatewayIP" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -AllocationMethod Dynamic
    $gwConfig = New-AzVirtualNetworkGatewayIpConfig -Name "ERGatewayIpConfig" -SubnetId $gwSubnet.Id -PublicIpAddressId $gwIP.Id
    

    Cree la puerta de enlace.Create the gateway.

    $gw = New-AzVirtualNetworkGateway -Name <yourgatewayname> -ResourceGroupName <yourresourcegroup> -Location <yourlocation) -IpConfigurations $gwConfig -GatewayType "ExpressRoute" -GatewaySku Standard
    

    Cree la conexión.Create the connection.

    $ckt = Get-AzExpressRouteCircuit -Name "YourCircuit" -ResourceGroupName "YourCircuitResourceGroup"
    New-AzVirtualNetworkGatewayConnection -Name "ERConnection" -ResourceGroupName $resgrp.ResourceGroupName -Location $location -VirtualNetworkGateway1 $gw -PeerId $ckt.Id -ConnectionType ExpressRoute
    

Incorporación de la configuración de punto a sitio a la puerta de enlace de VPNTo add point-to-site configuration to the VPN gateway

Para agregar una configuración de punto a sitio a la puerta de enlace de VPN en una configuración de coexistencia, puede seguir los pasos que se indican a continuación.You can follow the steps below to add Point-to-Site configuration to your VPN gateway in a coexistence setup. Para cargar el certificado raíz VPN, debe instalar PowerShell localmente en el equipo, o utilizar Azure Portal.To upload the VPN root certificate, you must either install PowerShell locally to your computer, or use the Azure portal.

  1. Agregue el grupo de direcciones de clientes de VPN.Add VPN Client address pool.

    $azureVpn = Get-AzVirtualNetworkGateway -Name "VPNGateway" -ResourceGroupName $resgrp.ResourceGroupName
    Set-AzVirtualNetworkGatewayVpnClientConfig -VirtualNetworkGateway $azureVpn -VpnClientAddressPool "10.251.251.0/24"
    
  2. En Azure, cargue el certificado raíz de VPN de la puerta de enlace de VPN.Upload the VPN root certificate to Azure for your VPN gateway. En este ejemplo, se supone que el certificado raíz se almacena en la máquina local donde se ejecutan los siguientes cmdlets de PowerShell y que el usuario está ejecutando PowerShell localmente.In this example, it's assumed that the root certificate is stored in the local machine where the following PowerShell cmdlets are run and that you are running PowerShell locally. También puede cargar el certificado con Azure Portal.You can also upload the certificate using the Azure portal.

    $p2sCertFullName = "RootErVpnCoexP2S.cer" 
    $p2sCertMatchName = "RootErVpnCoexP2S" 
    $p2sCertToUpload=get-childitem Cert:\CurrentUser\My | Where-Object {$_.Subject -match $p2sCertMatchName} 
    if ($p2sCertToUpload.count -eq 1){write-host "cert found"} else {write-host "cert not found" exit} 
    $p2sCertData = [System.Convert]::ToBase64String($p2sCertToUpload.RawData) 
    Add-AzVpnClientRootCertificate -VpnClientRootCertificateName $p2sCertFullName -VirtualNetworkGatewayname $azureVpn.Name -ResourceGroupName $resgrp.ResourceGroupName -PublicCertData $p2sCertData
    

Para más información sobre la VPN de punto a sitio, consulte Configuración de una conexión punto a sitio a una red virtual mediante PowerShell.For more information on Point-to-Site VPN, see Configure a Point-to-Site connection.

Pasos siguientesNext steps

Para obtener más información acerca de ExpressRoute, consulte P+F de ExpressRoute.For more information about ExpressRoute, see the ExpressRoute FAQ.