Agregar una conexión de sitio a sitio a una red virtual con una conexión de VPN Gateway existente (clásico)Add a Site-to-Site connection to a VNet with an existing VPN gateway connection (classic)

Nota

Este artículo se ha escrito para el modelo de implementación clásico.This article is written for the classic deployment model. Si es la primera vez que usa Azure, se recomienda usar el modelo de implementación de Resource Manager.If you're new to Azure, we recommend that you use the Resource Manager deployment model instead. El modelo de implementación de Resource Manager es el modelo más reciente y ofrece más opciones y compatibilidad de características que el modelo de implementación clásica.The Resource Manager deployment model is the most current deployment model and offers more options and feature compatibility than the classic deployment model. Para conocer más sobre los modelos de implementación, consulte la información sobre los modelos de implementación.For more information about the deployment models, see Understanding deployment models.

Para ver la versión de Resource Manager de este artículo, selecciónela en la lista desplegable a continuación o en la tabla de contenido de la izquierda.For the Resource Manager version of this article, select it from the drop-down list below, or from the table of contents on the left.

Este artículo le guiará a través del uso de PowerShell para agregar conexiones de sitio a sitio (S2S) a VPN Gateway con una conexión existente.This article walks you through using PowerShell to add Site-to-Site (S2S) connections to a VPN gateway that has an existing connection. Este tipo de conexión se denomina con frecuencia, configuración "multisitio".This type of connection is often referred to as a "multi-site" configuration. Los pasos de este artículo se aplican a las redes virtuales creadas con el modelo de implementación clásica (también conocido como Service Management).The steps in this article apply to virtual networks created using the classic deployment model (also known as Service Management). Estos pasos no se aplican a las configuraciones de conexión coexistentes de ExpressRoute/sitio a sitio.These steps do not apply to ExpressRoute/Site-to-Site coexisting connection configurations.

Modelos de implementación y métodosDeployment models and methods

Azure actualmente funciona con dos modelos de implementación: el de Resource Manager y el clásico.Azure currently works with two deployment models: Resource Manager and classic. Los dos modelos no son totalmente compatibles entre sí.The two models are not completely compatible with each other. Antes de empezar, es preciso saber el modelo en que se desea trabajar.Before you begin, you need to know which model that you want to work in. Para obtener información sobre los modelos de implementación, consulte Modelos de implementación de Azure.For information about the deployment models, see Understanding deployment models. Si es la primera vez que usa Azure, se recomienda usar el modelo de implementación de Resource Manager.If you are new to Azure, we recommend that you use the Resource Manager deployment model.

Esta tabla se actualiza cada vez que hay nuevos artículos y nuevas herramientas disponibles para esta configuración.We update this table as new articles and additional tools become available for this configuration. Cuando aparezca un artículo, creamos un vínculo directo a él desde esta tabla.When an article is available, we link directly to it from this table.

Método o modelo de implementaciónDeployment model/method Azure PortalAzure portal PowerShellPowerShell
Resource ManagerResource Manager TutorialTutorial CompatibleSupported
ClásicoClassic No compatibleNot Supported TutorialTutorial

Acerca de la conexiónAbout connecting

Puede conectar varios sitios locales a una única red virtual.You can connect multiple on-premises sites to a single virtual network. Esto resulta especialmente atractivo para crear soluciones híbridas en la nube.This is especially attractive for building hybrid cloud solutions. La creación de una conexión de varios sitios en la puerta de enlace de red virtual de Azure es similar a la creación de otras conexiones de sitio a sitio.Creating a multi-site connection to your Azure virtual network gateway is similar to creating other Site-to-Site connections. De hecho, puede utilizar una Azure VPN Gateway existente, siempre que la puerta de enlace sea dinámica (basada en ruta).In fact, you can use an existing Azure VPN gateway, as long as the gateway is dynamic (route-based).

Si ya se ha conectado una puerta de enlace estática a la red virtual, puede cambiar el tipo de puerta de enlace a dinámico sin tener que recompilar la red virtual para dar cabida a varios sitios.If you already have a static gateway connected to your virtual network, you can change the gateway type to dynamic without needing to rebuild the virtual network in order to accommodate multi-site. Antes de cambiar el tipo de enrutamiento, asegúrese de que la VPN Gateway local admite configuraciones de VPN basadas en ruta.Before changing the routing type, make sure that your on-premises VPN gateway supports route-based VPN configurations.

multi-site diagrammulti-site diagram

Puntos que se deben tener en cuentaPoints to consider

No podrá usar el portal para realizar cambios en esta red virtual.You won't be able to use the portal to make changes to this virtual network. Tiene que realizar los cambios en el archivo de configuración de red en lugar de usar el portal.You need to make changes to the network configuration file instead of using the portal. Si realiza cambios en el portal, sobrescribirán la configuración de referencia a varios sitios de esta red virtual.If you make changes in the portal, they'll overwrite your multi-site reference settings for this virtual network.

Debe sentirse cómodo al usar el archivo de configuración de red en el momento en el que complete el procedimiento de varios sitios.You should feel comfortable using the network configuration file by the time you've completed the multi-site procedure. Sin embargo, si hay más personas que trabajan en la configuración de red, tendrá que asegurarse de que todos conocen esta limitación.However, if you have multiple people working on your network configuration, you'll need to make sure that everyone knows about this limitation. Esto no significa que no pueda usar el portal en absoluto.This doesn't mean that you can't use the portal at all. Puede usarlo para todo lo demás menos para hacer cambios de configuración en esta red virtual concreta.You can use it for everything else, except making configuration changes to this particular virtual network.

Antes de empezarBefore you begin

Antes de comenzar la configuración, compruebe que dispone de lo siguiente:Before you begin configuration, verify that you have the following:

  • Hardware VPN compatible para cada ubicación local.Compatible VPN hardware for each on-premises location. Consulte Acerca de los dispositivos VPN para conectividad de red virtual para comprobar si el dispositivo que quiere usar es un dispositivo que se sabe que es compatible.Check About VPN Devices for Virtual Network Connectivity to verify if the device that you want to use is something that is known to be compatible.
  • Una dirección IP IPv4 pública orientada externamente para cada dispositivo VPN.An externally facing public IPv4 IP address for each VPN device. La dirección IP no se puede ubicar detrás de un NAT.The IP address cannot be located behind a NAT. Esto es un requisito.This is requirement.
  • Deberá instalar la versión más reciente de los cmdlets de Azure PowerShell.You'll need to install the latest version of the Azure PowerShell cmdlets. Asegúrese de instalar la versión de Service Management (SM) además de la de Resource Manager (RM).Make sure you install the Service Management (SM) version in addition to the Resource Manager version. Para obtener más información, vea Instalación y configuración de Azure PowerShell .See How to install and configure Azure PowerShell for more information.
  • Alguna persona con experiencia en configuración de hardware de VPNSomeone who is proficient at configuring your VPN hardware. Necesitará un conocimiento amplio de cómo configurar el dispositivo VPN o trabajar con alguien que lo tenga.You'll have to have a strong understanding of how to configure your VPN device, or work with someone who does.
  • Los intervalos de dirección IP que desea usar para la red virtual (si aún no ha creado uno).The IP address ranges that you want to use for your virtual network (if you haven't already created one).
  • Los intervalos de direcciones IP para cada uno de los sitios de red locales a los que se va a conectar.The IP address ranges for each of the local network sites that you'll be connecting to. Tendrá que asegurarse de que los intervalos de dirección IP para cada uno de los sitios de red locales a los que desea conectarse no se solapan.You'll need to make sure that the IP address ranges for each of the local network sites that you want to connect to do not overlap. De lo contrario, el portal o la API de REST rechazarán la configuración que se carga.Otherwise, the portal or the REST API will reject the configuration being uploaded.
    Por ejemplo, si dispone de dos sitios de red locales que contienen el intervalo de dirección IP 10.2.3.0/24 y dispone de un paquete con una dirección de destino 10.2.3.3, Azure no sabrá a qué sitio desea enviar el paquete porque se solapan los intervalos de dirección.For example, if you have two local network sites that both contain the IP address range 10.2.3.0/24 and you have a package with a destination address 10.2.3.3, Azure wouldn't know which site you want to send the package to because the address ranges are overlapping. Para evitar problemas de enrutamiento, Azure no loe permite cargar un archivo de configuración que disponga de intervalos que se solapan.To prevent routing issues, Azure doesn't allow you to upload a configuration file that has overlapping ranges.

1. Crear una VPN de sitio a sitio1. Create a Site-to-Site VPN

Si ya tiene una VPN de sitio a sitio con una puerta de enlace de enrutamiento dinámico, perfecto.If you already have a Site-to-Site VPN with a dynamic routing gateway, great! Puede pasar a Exportación de la configuración de la red virtual.You can proceed to Export the virtual network configuration settings. De lo contrario, haga lo siguiente:If not, do the following:

Si ya dispone de una red virtual de sitio a sitio, pero con una puerta de enlace de enrutamiento estático (basada en directivas):If you already have a Site-to-Site virtual network, but it has a static (policy-based) routing gateway:

  1. Cambie el tipo de puerta de enlace a enrutamiento dinámico.Change your gateway type to dynamic routing. Una VPN de varios sitios requiere una puerta de enlace de enrutamiento dinámico (también denominada basada en ruta).A multi-site VPN requires a dynamic (also known as route-based) routing gateway. Para cambiar el tipo de puerta de enlace, tendrá que eliminar primero la puerta de enlace existente y, a continuación, crear una nueva.To change your gateway type, you'll need to first delete the existing gateway, then create a new one.
  2. Configure la nueva puerta de enlace y cree un túnel de VPN.Configure your new gateway and create your VPN tunnel. Para obtener instrucciones, consulte Especificación del tipo de VPN y SKU.For instructions, For instructions, see Specify the SKU and VPN type. Asegúrese de especificar el tipo de enrutamiento como "Dinámico".Make sure you specify the Routing Type as 'Dynamic'.

Si no dispone de una red virtual de sitio a sitio:If you don't have a Site-to-Site virtual network:

  1. Cree la red virtual de sitio a sitio mediante las instrucciones que se describen en: Creación de una red virtual con una conexión VPN de sitio a sitio.Create your Site-to-Site virtual network using these instructions: Create a Virtual Network with a Site-to-Site VPN Connection.
  2. Configure una puerta de enlace de enrutamiento mediante estas instrucciones: Configuración de una instancia de VPN Gateway.Configure a dynamic routing gateway using these instructions: Configure a VPN Gateway. Asegúrese de seleccionar enrutamiento dinámico como tipo de puerta de enlace.Be sure to select dynamic routing for your gateway type.

2. Exportar el archivo de configuración de red2. Export the network configuration file

Exporte el archivo de configuración de red de Azure mediante la ejecución del comando siguiente.Export your Azure network configuration file by running the following command. Puede cambiar la ubicación del archivo que se va a exportar a una ubicación diferente si es necesario.You can change the location of the file to export to a different location if necessary.

Get-AzureVNetConfig -ExportToFile C:\AzureNet\NetworkConfig.xml

3. Abrir el archivo de configuración de red3. Open the network configuration file

Abra el archivo de configuración de red que descargó en el último paso.Open the network configuration file that you downloaded in the last step. Use el editor xml que desee.Use any xml editor that you like. El archivo debe tener un aspecto similar al siguiente:The file should look similar to the following:

    <NetworkConfiguration xmlns:xsd="https://www.w3.org/2001/XMLSchema" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/ServiceHosting/2011/07/NetworkConfiguration">
      <VirtualNetworkConfiguration>
        <LocalNetworkSites>
          <LocalNetworkSite name="Site1">
            <AddressSpace>
              <AddressPrefix>10.0.0.0/16</AddressPrefix>
              <AddressPrefix>10.1.0.0/16</AddressPrefix>
            </AddressSpace>
            <VPNGatewayAddress>131.2.3.4</VPNGatewayAddress>
          </LocalNetworkSite>
          <LocalNetworkSite name="Site2">
            <AddressSpace>
              <AddressPrefix>10.2.0.0/16</AddressPrefix>
              <AddressPrefix>10.3.0.0/16</AddressPrefix>
            </AddressSpace>
            <VPNGatewayAddress>131.4.5.6</VPNGatewayAddress>
          </LocalNetworkSite>
        </LocalNetworkSites>
        <VirtualNetworkSites>
          <VirtualNetworkSite name="VNet1" AffinityGroup="USWest">
            <AddressSpace>
              <AddressPrefix>10.20.0.0/16</AddressPrefix>
              <AddressPrefix>10.21.0.0/16</AddressPrefix>
            </AddressSpace>
            <Subnets>
              <Subnet name="FE">
                <AddressPrefix>10.20.0.0/24</AddressPrefix>
              </Subnet>
              <Subnet name="BE">
                <AddressPrefix>10.20.1.0/24</AddressPrefix>
              </Subnet>
              <Subnet name="GatewaySubnet">
                <AddressPrefix>10.20.2.0/29</AddressPrefix>
              </Subnet>
            </Subnets>
            <Gateway>
              <ConnectionsToLocalNetwork>
                <LocalNetworkSiteRef name="Site1">
                  <Connection type="IPsec" />
                </LocalNetworkSiteRef>
              </ConnectionsToLocalNetwork>
            </Gateway>
          </VirtualNetworkSite>
        </VirtualNetworkSites>
      </VirtualNetworkConfiguration>
    </NetworkConfiguration>

4. Agregar referencias de varios sitios4. Add multiple site references

Cuando agregue o quite la información de referencia del sitio, realizará cambios de configuración en ConnectionsToLocalNetwork/LocalNetworkSiteRef.When you add or remove site reference information, you'll make configuration changes to the ConnectionsToLocalNetwork/LocalNetworkSiteRef. Si se agrega una nueva referencia a sitio local se activa Azure para la creación de un nuevo túnel.Adding a new local site reference triggers Azure to create a new tunnel. En el ejemplo siguiente, la configuración de red es para una conexión de sitio único.In the example below, the network configuration is for a single-site connection. Cuando haya terminado de realizar los cambios, guarde el archivo.Save the file once you have finished making your changes.

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

Para agregar referencias a sitios adicionales (crear una configuración de varios sitios), basta con agregar líneas "LocalNetworkSiteRef" adicionales, como se muestra en el ejemplo siguiente:To add additional site references (create a multi-site configuration), simply add additional "LocalNetworkSiteRef" lines, as shown in the example below:

  <Gateway>
    <ConnectionsToLocalNetwork>
      <LocalNetworkSiteRef name="Site1"><Connection type="IPsec" /></LocalNetworkSiteRef>
      <LocalNetworkSiteRef name="Site2"><Connection type="IPsec" /></LocalNetworkSiteRef>
    </ConnectionsToLocalNetwork>
  </Gateway>

5. Importar el archivo de configuración de red5. Import the network configuration file

Importe un archivo de configuración de red.Import the network configuration file. Cuando importe este archivo con los cambios, se agregarán nuevos túneles.When you import this file with the changes, the new tunnels will be added. Los túneles usarán la puerta de enlace dinámica que creó anteriormente.The tunnels will use the dynamic gateway that you created earlier. Puede usar PowerShell para importar el archivo.You can use PowerShell to import the file.

6. Descargar las claves6. Download keys

Una vez que se han agregado los nuevos túneles, use el cmdlet de PowerShell 'Get-AzureVNetGatewayKey' para obtener las claves IPsec/IKE compartidas previamente para cada túnel.Once your new tunnels have been added, use the PowerShell cmdlet 'Get-AzureVNetGatewayKey' to get the IPsec/IKE pre-shared keys for each tunnel.

Por ejemplo:For example:

Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site1"
Get-AzureVNetGatewayKey –VNetName "VNet1" –LocalNetworkSiteName "Site2"

Si lo prefiere, también puede usar la API de REST de Obtención de la clave compartida de puerta de enlace de la red virtual para obtener claves compartidas previamente.If you prefer, you can also use the Get Virtual Network Gateway Shared Key REST API to get the pre-shared keys.

7. Comprobación de las conexiones7. Verify your connections

Compruebe el estado del túnel de varios sitios.Check the multi-site tunnel status. Después de descargar las claves para cada túnel, querrá comprobar las conexiones.After downloading the keys for each tunnel, you'll want to verify connections. Use 'Get-AzureVnetConnection' para obtener una lista de túneles de redes virtuales, como se muestra en el siguiente ejemplo.Use 'Get-AzureVnetConnection' to get a list of virtual network tunnels, as shown in the example below. VNet1 es el nombre de la red virtual.VNet1 is the name of the VNet.

Get-AzureVnetConnection -VNetName VNET1

Valor devuelto del ejemplo:Example return:

    ConnectivityState         : Connected
    EgressBytesTransferred    : 661530
    IngressBytesTransferred   : 519207
    LastConnectionEstablished : 5/2/2014 2:51:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site1' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site1
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7f68a8e6-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

    ConnectivityState         : Connected
    EgressBytesTransferred    : 789398
    IngressBytesTransferred   : 143908
    LastConnectionEstablished : 5/2/2014 3:20:40 PM
    LastEventID               : 23401
    LastEventMessage          : The connectivity state for the local network site 'Site2' changed from Not Connected to Connected.
    LastEventTimeStamp        : 5/2/2014 2:51:40 PM
    LocalNetworkSiteName      : Site2
    OperationDescription      : Get-AzureVNetConnection
    OperationId               : 7893b329-51e9-9db4-88c2-16b8067fed7f
    OperationStatus           : Succeeded

Pasos siguientesNext steps

Para más información sobre las VPN Gateway, consulte Acerca de las VPN Gateway.To learn more about VPN Gateways, see About VPN Gateways.