Configuración de una conexión de VPN Gateway de red virtual a red virtual mediante PowerShellConfigure a VNet-to-VNet VPN gateway connection using PowerShell

Este artículo le ayuda a conectarse a redes virtuales mediante el tipo de conexión de red virtual a red virtual.This article helps you connect virtual networks by using the VNet-to-VNet connection type. Las redes virtuales pueden estar en la misma región o en distintas, así como pertenecer a una única suscripción o a varias.The virtual networks can be in the same or different regions, and from the same or different subscriptions. Al conectar redes virtuales de distintas suscripciones, estas no necesitan estar asociadas con el mismo inquilino de Active Directory.When connecting VNets from different subscriptions, the subscriptions do not need to be associated with the same Active Directory tenant.

Los pasos descritos en este artículo se aplican al modelo de implementación de Resource Manager y utilizan PowerShell.The steps in this article apply to the Resource Manager deployment model and use PowerShell. También se puede crear esta configuración con una herramienta o modelo de implementación distintos, mediante la selección de una opción diferente en la lista siguiente:You can also create this configuration using a different deployment tool or deployment model by selecting a different option from the following list:

Acerca de la conexión de redes virtualesAbout connecting VNets

Hay varias formas de conectar redes virtuales.There are multiple ways to connect VNets. Las siguientes secciones describen distintas formas de conectar redes virtuales.The sections below describe different ways to connect virtual networks.

De red virtual a red virtualVNet-to-VNet

La configuración de una conexión entre redes virtuales es una buena manera de conectar redes virtuales fácilmente.Configuring a VNet-to-VNet connection is a good way to easily connect VNets. La conexión de una red virtual a otra mediante el tipo de conexión entre redes virtuales (VNet2VNet) es parecida a la creación de una conexión IPsec de sitio a sitio en una ubicación local.Connecting a virtual network to another virtual network using the VNet-to-VNet connection type (VNet2VNet) is similar to creating a Site-to-Site IPsec connection to an on-premises location. Ambos tipos de conectividad usan una puerta de enlace de VPN para proporcionar un túnel seguro mediante IPsec/IKE y los dos funcionan de la misma forma en lo relativo a la comunicación.Both connectivity types use a VPN gateway to provide a secure tunnel using IPsec/IKE, and both function the same way when communicating. La diferencia entre ambos tipos de conexión radica en la manera en que se configura la puerta de enlace de red local.The difference between the connection types is the way the local network gateway is configured. Al crear una conexión entre redes virtuales, no se ve el espacio de direcciones de la puerta de enlace de red local.When you create a VNet-to-VNet connection, you do not see the local network gateway address space. Se crea y rellena automáticamente.It is automatically created and populated. Si actualiza el espacio de direcciones de una de las redes virtuales, la otra sabe automáticamente cómo realizar el enrutamiento al espacio de direcciones actualizado.If you update the address space for one VNet, the other VNet automatically knows to route to the updated address space. La creación de una conexión entre redes virtuales suele ser más rápida y sencilla que la creación de una conexión de sitio a sitio entre redes virtuales.Creating a VNet-to-VNet connection is typically faster and easier than creating a Site-to-Site connection between VNets.

De sitio a sitio (IPsec)Site-to-Site (IPsec)

Si puntualmente trabaja con una configuración de red complicada, puede que prefiera conectar sus redes virtuales mediante los pasos que se indican en Creación de una red virtual con una conexión VPN de sitio a sitio mediante PowerShell, en lugar de las instrucciones para la conexión entre redes virtuales.If you are working with a complicated network configuration, you may prefer to connect your VNets using the Site-to-Site steps, instead the VNet-to-VNet steps. Cuando se usan las instrucciones para la conexión de sitio a sitio, las puertas de enlace de red locales se crean y se configuran manualmente.When you use the Site-to-Site steps, you create and configure the local network gateways manually. La puerta de enlace de red local de cada red virtual trata a la otra red virtual como un sitio local.The local network gateway for each VNet treats the other VNet as a local site. De esta forma, puede especificar más espacio de direcciones para la puerta de enlace de red local a fin de enrutar el tráfico.This lets you specify additional address space for the local network gateway in order to route traffic. Si el espacio de direcciones de una red virtual cambia, es preciso que actualice la puerta de enlace de red local correspondiente para reflejar dicho cambio.If the address space for a VNet changes, you need to update the corresponding local network gateway to reflect the change. No se actualiza automáticamente.It does not automatically update.

Emparejamiento de VNETVNet peering

Puede que desee considerar conectar sus redes virtuales mediante el emparejamiento de VNET.You may want to consider connecting your VNets using VNet Peering. El emparejamiento de VNET no utiliza una puerta de enlace de VPN y tiene distintas restricciones.VNet peering does not use a VPN gateway and has different constraints. Además, los precios del emparejamiento de VNET se calculan de forma diferente que los precios de VPN Gateway entre redes virtuales.Additionally, VNet peering pricing is calculated differently than VNet-to-VNet VPN Gateway pricing. Para más información, consulte Emparejamiento de VNET.For more information, see VNet peering.

¿Por qué crear una conexión de red virtual a red virtual?Why create a VNet-to-VNet connection?

Puede que desee conectar redes virtuales con una conexión entre redes virtuales por las siguientes razones:You may want to connect virtual networks using a VNet-to-VNet connection for the following reasons:

  • Presencia geográfica y redundancia geográfica entre regionesCross region geo-redundancy and geo-presence

    • Puede configurar su propia replicación geográfica o sincronización con conectividad segura sin recurrir a los puntos de conexión a Internet.You can set up your own geo-replication or synchronization with secure connectivity without going over Internet-facing endpoints.
    • Con el Equilibrador de carga y el Administrador de tráfico de Azure, puede configurar cargas de trabajo de alta disponibilidad con redundancia geográfica en varias regiones de Azure.With Azure Traffic Manager and Load Balancer, you can set up highly available workload with geo-redundancy across multiple Azure regions. Por ejemplo, puede configurar AlwaysOn de SQL con grupos de disponibilidad distribuidos en varias regiones de Azure.One important example is to set up SQL Always On with Availability Groups spreading across multiple Azure regions.
  • Aplicaciones regionales de niveles múltiples con aislamiento o un límite administrativoRegional multi-tier applications with isolation or administrative boundary

    • Dentro de la misma región, se pueden configurar aplicaciones de niveles múltiples con varias redes virtuales conectadas entre sí para cumplir requisitos administrativos o de aislamiento.Within the same region, you can set up multi-tier applications with multiple virtual networks connected together due to isolation or administrative requirements.

Se puede combinar la comunicación entre redes virtuales con configuraciones de varios sitios.VNet-to-VNet communication can be combined with multi-site configurations. Esto permite establecer topologías de red que combinen la conectividad entre entornos con la conectividad entre redes virtuales.This lets you establish network topologies that combine cross-premises connectivity with inter-virtual network connectivity.

¿Qué instrucciones para la conexión entre redes virtuales debo seguir?Which VNet-to-VNet steps should I use?

En este artículo, verá dos conjuntos de pasos diferentes.In this article, you see two different sets of steps. Un conjunto de pasos para las redes virtuales que residen en la misma suscripción y otro para las redes virtuales que residen en suscripciones diferentes.One set of steps for VNets that reside in the same subscription and one for VNets that reside in different subscriptions. La principal diferencia entre ambos conjuntos es que debe utilizar sesiones de PowerShell independientes al configurar las conexiones de redes virtuales que residen en distintas suscripciones.The key difference between the sets is that you must use separate PowerShell sessions when configuring the connections for VNets that reside in different subscriptions.

Para este ejercicio, puede combinar las configuraciones, o bien elegir con la que desea trabajar.For this exercise, you can combine configurations, or just choose the one that you want to work with. Todas las configuraciones utilizan el tipo de conexión entre redes virtuales.All of the configurations use the VNet-to-VNet connection type. Flujos de tráfico de red entre las redes virtuales que están directamente conectados entre sí.Network traffic flows between the VNets that are directly connected to each other. En este ejercicio, el tráfico de TestVNet4 no se enruta a TestVNet5.In this exercise, traffic from TestVNet4 does not route to TestVNet5.

Conexión de redes virtuales que están en la misma suscripciónHow to connect VNets that are in the same subscription

Antes de empezarBefore you begin

Nota

Este artículo se ha actualizado para usar el nuevo módulo Az de Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Aún puede usar el módulo de AzureRM que continuará recibiendo correcciones de errores hasta diciembre de 2020 como mínimo.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Para más información acerca del nuevo módulo Az y la compatibilidad con AzureRM, consulte Introducing the new Azure PowerShell Az module (Presentación del nuevo módulo Az de Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Para obtener instrucciones sobre la instalación del módulo Az, consulte Instalación de Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

  • Dado que se tarda hasta 45 minutos en crear una puerta de enlace, el tiempo de Azure Cloud Shell expirara periódicamente durante este ejercicio.Because it takes up to 45 minutes to create a gateway, Azure Cloud Shell will timeout periodically during this exercise. Para reiniciar Cloud Shell, haga clic en la esquina superior izquierda del terminal.You can restart Cloud Shell by clicking in the upper left of the terminal. No olvide volver a declarar las variables cuando se reinicie el terminal.Be sure to redeclare any variables when you restart the terminal.

  • Si prefiere instalar la versión más reciente del módulo Azure PowerShell localmente, consulte el artículo de Instalación y configuración de Azure PowerShell.If you would rather install latest version of the Azure PowerShell module locally, see How to install and configure Azure PowerShell.

Paso 1: Planeamiento de los intervalos de direcciones IPStep 1 - Plan your IP address ranges

En los pasos siguientes, se crean dos redes virtuales junto con sus subredes de puerta de enlace y configuraciones correspondientes.In the following steps, you create two virtual networks along with their respective gateway subnets and configurations. Luego, se crea una conexión VPN entre las dos redes virtuales.You then create a VPN connection between the two VNets. Es importante planear los intervalos de direcciones IP para la configuración de red.It’s important to plan the IP address ranges for your network configuration. Tenga en cuenta que hay que asegurarse de que ninguno de los intervalos de VNet o intervalos de red local se solapen.Keep in mind that you must make sure that none of your VNet ranges or local network ranges overlap in any way. En estos ejemplos, no se incluye ningún servidor DNS.In these examples, we do not include a DNS server. Si desea disponer de resolución de nombres en las redes virtuales, consulte Resolución de nombres.If you want name resolution for your virtual networks, see Name resolution.

En los ejemplos usamos los siguientes valores:We use the following values in the examples:

Valores para TestVNet1:Values for TestVNet1:

  • Nombre de la red virtual: TestVNet1VNet Name: TestVNet1
  • Grupo de recursos: TestRG1Resource Group: TestRG1
  • Ubicación: East USLocation: East US
  • TestVNet1: 10.11.0.0/16 y 10.12.0.0/16TestVNet1: 10.11.0.0/16 & 10.12.0.0/16
  • front-end: 10.11.0.0/24FrontEnd: 10.11.0.0/24
  • BackEnd: 10.12.0.0/24BackEnd: 10.12.0.0/24
  • GatewaySubnet: 10.12.255.0/27GatewaySubnet: 10.12.255.0/27
  • GatewayName: VNet1GWGatewayName: VNet1GW
  • Public IP: VNet1GWIPPublic IP: VNet1GWIP
  • VPNType: RouteBasedVPNType: RouteBased
  • Connection(1to4): VNet1toVNet4Connection(1to4): VNet1toVNet4
  • Connection(1to5): VNet1toVNet5 (para redes virtuales de suscripciones distintas)Connection(1to5): VNet1toVNet5 (For VNets in different subscriptions)
  • ConnectionType: VNet2VNetConnectionType: VNet2VNet

Valores para TestVNet4:Values for TestVNet4:

  • Nombre de la red virtual: TestVNet4VNet Name: TestVNet4
  • TestVNet2: 10.41.0.0/16 y 10.42.0.0/16TestVNet2: 10.41.0.0/16 & 10.42.0.0/16
  • front-end: 10.41.0.0/24FrontEnd: 10.41.0.0/24
  • BackEnd: 10.42.0.0/24BackEnd: 10.42.0.0/24
  • GatewaySubnet: 10.42.255.0/27GatewaySubnet: 10.42.255.0/27
  • Grupo de recursos: TestRG4Resource Group: TestRG4
  • Ubicación: Oeste de EE. UU.Location: West US
  • GatewayName: VNet4GWGatewayName: VNet4GW
  • Public IP: VNet4GWIPPublic IP: VNet4GWIP
  • VPNType: RouteBasedVPNType: RouteBased
  • Conexión: VNet4toVNet1Connection: VNet4toVNet1
  • ConnectionType: VNet2VNetConnectionType: VNet2VNet

Paso 2: Creación y configuración de TestVNet1Step 2 - Create and configure TestVNet1

  1. Compruebe la configuración de la suscripción.Verify your subscription settings.

    Si ejecuta Azure PowerShell localmente en el equipo, conéctese a la cuenta.Connect to your account if you are running PowerShell locally on your computer. Si usa Azure Cloud Shell, se conectará automáticamente.If you are using Azure Cloud Shell, you are connected automatically.

    Connect-AzAccount
    

    Compruebe las suscripciones para la cuenta.Check the subscriptions for the account.

    Get-AzSubscription
    

    Si tiene varias suscripciones, seleccione la que quera usar.If you have more than one subscription, specify the subscription that you want to use.

    Select-AzSubscription -SubscriptionName nameofsubscription
    
  2. Declare las variables.Declare your variables. En este ejemplo se declaran las variables con los valores para este ejercicio.This example declares the variables using the values for this exercise. En la mayoría de los casos, deberá reemplazar los valores por los suyos propios.In most cases, you should replace the values with your own. No obstante, puede usar estas variables si está practicando los pasos para familiarizarse con este tipo de configuración.However, you can use these variables if you are running through the steps to become familiar with this type of configuration. Si es necesario, modifique las variables y después cópielas y péguelas en la consola de PowerShell.Modify the variables if needed, then copy and paste them into your PowerShell console.

    $RG1 = "TestRG1"
    $Location1 = "East US"
    $VNetName1 = "TestVNet1"
    $FESubName1 = "FrontEnd"
    $BESubName1 = "Backend"
    $VNetPrefix11 = "10.11.0.0/16"
    $VNetPrefix12 = "10.12.0.0/16"
    $FESubPrefix1 = "10.11.0.0/24"
    $BESubPrefix1 = "10.12.0.0/24"
    $GWSubPrefix1 = "10.12.255.0/27"
    $GWName1 = "VNet1GW"
    $GWIPName1 = "VNet1GWIP"
    $GWIPconfName1 = "gwipconf1"
    $Connection14 = "VNet1toVNet4"
    $Connection15 = "VNet1toVNet5"
    
  3. Cree un grupo de recursos.Create a resource group.

    New-AzResourceGroup -Name $RG1 -Location $Location1
    
  4. Cree las configuraciones de subred para TestVNet1.Create the subnet configurations for TestVNet1. En este ejemplo se crea una red virtual denominada TestVNet1 y tres subredes llamadas: GatewaySubnet, FrontEnd y Backend.This example creates a virtual network named TestVNet1 and three subnets, one called GatewaySubnet, one called FrontEnd, and one called Backend. Al reemplazar valores, es importante que siempre asigne el nombre GatewaySubnet a la subred de la puerta de enlace.When substituting values, it's important that you always name your gateway subnet specifically GatewaySubnet. Si usa otro, se produce un error al crear la puerta de enlace.If you name it something else, your gateway creation fails. Por esta razón, no se asigna a través de la variable siguiente.For this reason, it is not assigned via variable below.

    El siguiente ejemplo usa las variables que estableció anteriormente.The following example uses the variables that you set earlier. En este ejemplo, la subred de la puerta de enlace está usando un /27.In this example, the gateway subnet is using a /27. Aunque es posible crear una subred de puerta de enlace tan pequeña como /29, se recomienda que cree una subred mayor que incluya más direcciones seleccionando al menos /28 o /27.While it is possible to create a gateway subnet as small as /29, we recommend that you create a larger subnet that includes more addresses by selecting at least /28 or /27. Esto permitirá suficientes direcciones para dar cabida a posibles configuraciones adicionales que desee en el futuro.This will allow for enough addresses to accommodate possible additional configurations that you may want in the future.

    $fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
    $besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
    $gwsub1 = New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $GWSubPrefix1
    
  5. Cree TestVNet1.Create TestVNet1.

    New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 `
    -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1
    
  6. Solicite que se asigne una dirección IP pública a la puerta de enlace que creará para la red virtual.Request a public IP address to be allocated to the gateway you will create for your VNet. Observe que AllocationMethod es dinámico.Notice that the AllocationMethod is Dynamic. No puede especificar la dirección IP que desea usar.You cannot specify the IP address that you want to use. Se asigna dinámicamente a la puerta de enlace.It's dynamically allocated to your gateway.

    $gwpip1 = New-AzPublicIpAddress -Name $GWIPName1 -ResourceGroupName $RG1 `
    -Location $Location1 -AllocationMethod Dynamic
    
  7. Establezca la configuración de la puerta de enlace.Create the gateway configuration. La configuración de puerta de enlace define la subred y la dirección IP pública.The gateway configuration defines the subnet and the public IP address to use. Use el ejemplo para crear la configuración de la puerta de enlace.Use the example to create your gateway configuration.

    $vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
    $subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
    $gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName1 `
    -Subnet $subnet1 -PublicIpAddress $gwpip1
    
  8. Cree la puerta de enlace para TestVNet1.Create the gateway for TestVNet1. En este paso, creará la puerta de enlace de red virtual para TestVNet1.In this step, you create the virtual network gateway for your TestVNet1. Las configuraciones VNet a VNet requieren un VpnType RouteBased.VNet-to-VNet configurations require a RouteBased VpnType. La creación de una puerta de enlace suele tardar 45 minutos o más, según la SKU de la puerta de enlace seleccionada.Creating a gateway can often take 45 minutes or more, depending on the selected gateway SKU.

    New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 `
    -Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn `
    -VpnType RouteBased -GatewaySku VpnGw1
    

Cuando termine con los comandos, esta puerta de enlace tardará hasta 45 minutos en crearse.After you finish the commands, it will take up to 45 minutes to create this gateway. Si usa Azure Cloud Shell, puede reiniciar la sesión; para ello, haga clic en la esquina superior izquierda del terminal de Cloud Shell y configure TestVNet4.If you are using Azure Cloud Shell, you can restart your CloudShell session by clicking in the upper left of the Cloud Shell terminal, then configure TestVNet4. No es necesario esperar hasta que se complete la puerta de enlace de TestVNet1.You don't need to wait until the TestVNet1 gateway completes.

Paso 3: Creación y configuración de TestVNet4Step 3 - Create and configure TestVNet4

Una vez que haya configurado TestVNet1, cree TestVNet4.Once you've configured TestVNet1, create TestVNet4. Siga los pasos a continuación y reemplace los valores por los suyos propios cuando sea necesario.Follow the steps below, replacing the values with your own when needed.

  1. Conéctese y declare las variables.Connect and declare your variables. Asegúrese de reemplazar los valores por los que desea usar para su configuración.Be sure to replace the values with the ones that you want to use for your configuration.

    $RG4 = "TestRG4"
    $Location4 = "West US"
    $VnetName4 = "TestVNet4"
    $FESubName4 = "FrontEnd"
    $BESubName4 = "Backend"
    $VnetPrefix41 = "10.41.0.0/16"
    $VnetPrefix42 = "10.42.0.0/16"
    $FESubPrefix4 = "10.41.0.0/24"
    $BESubPrefix4 = "10.42.0.0/24"
    $GWSubPrefix4 = "10.42.255.0/27"
    $GWName4 = "VNet4GW"
    $GWIPName4 = "VNet4GWIP"
    $GWIPconfName4 = "gwipconf4"
    $Connection41 = "VNet4toVNet1"
    
  2. Cree un grupo de recursos.Create a resource group.

    New-AzResourceGroup -Name $RG4 -Location $Location4
    
  3. Cree las configuraciones de subred para TestVNet4.Create the subnet configurations for TestVNet4.

    $fesub4 = New-AzVirtualNetworkSubnetConfig -Name $FESubName4 -AddressPrefix $FESubPrefix4
    $besub4 = New-AzVirtualNetworkSubnetConfig -Name $BESubName4 -AddressPrefix $BESubPrefix4
    $gwsub4 = New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix $GWSubPrefix4
    
  4. Cree TestVNet4.Create TestVNet4.

    New-AzVirtualNetwork -Name $VnetName4 -ResourceGroupName $RG4 `
    -Location $Location4 -AddressPrefix $VnetPrefix41,$VnetPrefix42 -Subnet $fesub4,$besub4,$gwsub4
    
  5. Pida una dirección IP pública.Request a public IP address.

    $gwpip4 = New-AzPublicIpAddress -Name $GWIPName4 -ResourceGroupName $RG4 `
    -Location $Location4 -AllocationMethod Dynamic
    
  6. Establezca la configuración de la puerta de enlace.Create the gateway configuration.

    $vnet4 = Get-AzVirtualNetwork -Name $VnetName4 -ResourceGroupName $RG4
    $subnet4 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet4
    $gwipconf4 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName4 -Subnet $subnet4 -PublicIpAddress $gwpip4
    
  7. Creación de la puerta de enlace de TestVNet4.Create the TestVNet4 gateway. La creación de una puerta de enlace suele tardar 45 minutos o más, según la SKU de la puerta de enlace seleccionada.Creating a gateway can often take 45 minutes or more, depending on the selected gateway SKU.

    New-AzVirtualNetworkGateway -Name $GWName4 -ResourceGroupName $RG4 `
    -Location $Location4 -IpConfigurations $gwipconf4 -GatewayType Vpn `
    -VpnType RouteBased -GatewaySku VpnGw1
    

Paso 4: Creación de las conexionesStep 4 - Create the connections

Espere hasta que se hayan completado ambas puertas de enlace.Wait until both gateways are completed. Reinicie la sesión de Azure Cloud Shell, y copie y pegue las variables del principio del paso 2 y el paso 3 en la consola para volver a declarar los valores.Restart your Azure Cloud Shell session and copy and paste the variables from the beginning of Step 2 and Step 3 into the console to redeclare values.

  1. Obtenga ambas puertas de enlace de red virtual.Get both virtual network gateways.

    $vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
    $vnet4gw = Get-AzVirtualNetworkGateway -Name $GWName4 -ResourceGroupName $RG4
    
  2. Cree la conexión de TestVNet1 a TestVNet4.Create the TestVNet1 to TestVNet4 connection. En este paso, creará la conexión de TestVNet1 a TestVNet4.In this step, you create the connection from TestVNet1 to TestVNet4. Verá una clave compartida a la que se hace referencia en los ejemplos.You'll see a shared key referenced in the examples. Puede utilizar sus propios valores para la clave compartida.You can use your own values for the shared key. Lo importante es que la clave compartida coincida en ambas conexiones.The important thing is that the shared key must match for both connections. Se tardará unos momentos en terminar de crear la conexión.Creating a connection can take a short while to complete.

    New-AzVirtualNetworkGatewayConnection -Name $Connection14 -ResourceGroupName $RG1 `
    -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet4gw -Location $Location1 `
    -ConnectionType Vnet2Vnet -SharedKey 'AzureA1b2C3'
    
  3. Cree la conexión de TestVNet4 a TestVNet1.Create the TestVNet4 to TestVNet1 connection. Este paso es similar al anterior, salvo en que se crea la conexión de TestVNet4 a TestVNet1.This step is similar to the one above, except you are creating the connection from TestVNet4 to TestVNet1. Asegúrese de que coincidan las claves compartidas.Make sure the shared keys match. Después de unos minutos, se habrá establecido la conexión.The connection will be established after a few minutes.

    New-AzVirtualNetworkGatewayConnection -Name $Connection41 -ResourceGroupName $RG4 `
    -VirtualNetworkGateway1 $vnet4gw -VirtualNetworkGateway2 $vnet1gw -Location $Location4 `
    -ConnectionType Vnet2Vnet -SharedKey 'AzureA1b2C3'
    
  4. Compruebe la conexión.Verify your connection. Consulte la sección Comprobación de la conexión.See the section How to verify your connection.

Conexión de redes virtuales que están en suscripciones diferentesHow to connect VNets that are in different subscriptions

En este escenario, se conectan TestVNet1 y TestVNet5.In this scenario, you connect TestVNet1 and TestVNet5. TestVNet1 y TestVNet5 residen en suscripciones diferentes.TestVNet1 and TestVNet5 reside in different subscriptions. Las suscripciones no necesitan estar asociadas con el mismo inquilino de Active Directory.The subscriptions do not need to be associated with the same Active Directory tenant.

La diferencia entre estos pasos y el conjunto anterior es que parte de los pasos de configuración se deben realizar en una sesión de PowerShell distinta en el contexto de la segunda suscripción.The difference between these steps and the previous set is that some of the configuration steps need to be performed in a separate PowerShell session in the context of the second subscription. Especialmente cuando las dos suscripciones pertenecen a distintas organizaciones.Especially when the two subscriptions belong to different organizations.

Debido al cambio de contexto de la suscripción en este ejercicio, al llegar al paso 8 le resultará más fácil usar PowerShell localmente en el equipo, en lugar de utilizar Azure Cloud Shell.Due to changing subscription context in this exercise, you may find it easier to use PowerShell locally on your computer, rather than using the Azure Cloud Shell, when you get to Step 8.

Paso 5: Creación y configuración de TestVNet1Step 5 - Create and configure TestVNet1

Tiene que completar el paso 1 y el paso 2 de la sección anterior para crear y configurar TestVNet1 y VPN Gateway para TestVNet1.You must complete Step 1 and Step 2 from the previous section to create and configure TestVNet1 and the VPN Gateway for TestVNet1. Para esta configuración, no se necesita crear TestVNet4 de la sección anterior, aunque, si la creó, no entrará en conflicto con estos pasos.For this configuration, you are not required to create TestVNet4 from the previous section, although if you do create it, it will not conflict with these steps. Cuando haya completado el paso 1 y el 2, continúe con el paso 6 para crear TestVNet5.Once you complete Step 1 and Step 2, continue with Step 6 to create TestVNet5.

Paso 6: Comprobación de los intervalos de direcciones IPStep 6 - Verify the IP address ranges

Es importante asegurarse de que el espacio de direcciones IP de la red virtual nueva, TestVNet5, no se solape con ninguno de los intervalos de red virtual o de puerta de enlace de red local.It is important to make sure that the IP address space of the new virtual network, TestVNet5, does not overlap with any of your VNet ranges or local network gateway ranges. En este ejemplo, las redes virtuales pueden pertenecer a distintas organizaciones.In this example, the virtual networks may belong to different organizations. En este ejercicio, use los siguientes valores para TestVNet5:For this exercise, you can use the following values for the TestVNet5:

Valores para TestVNet5:Values for TestVNet5:

  • Nombre de la red virtual: TestVNet5VNet Name: TestVNet5
  • Grupo de recursos: TestRG5Resource Group: TestRG5
  • Ubicación: Este de JapónLocation: Japan East
  • TestVNet5: 10.51.0.0/16 y 10.52.0.0/16TestVNet5: 10.51.0.0/16 & 10.52.0.0/16
  • front-end: 10.51.0.0/24FrontEnd: 10.51.0.0/24
  • BackEnd: 10.52.0.0/24BackEnd: 10.52.0.0/24
  • GatewaySubnet: 10.52.255.0.0/27GatewaySubnet: 10.52.255.0.0/27
  • GatewayName: VNet5GWGatewayName: VNet5GW
  • Public IP: VNet5GWIPPublic IP: VNet5GWIP
  • VPNType: RouteBasedVPNType: RouteBased
  • Conexión: VNet5toVNet1Connection: VNet5toVNet1
  • ConnectionType: VNet2VNetConnectionType: VNet2VNet

Paso 7: Creación y configuración de TestVNet5Step 7 - Create and configure TestVNet5

Este paso debe realizarse en el contexto de la nueva suscripción.This step must be done in the context of the new subscription. Es posible que esta parte la realice el administrador de otra organización que posea la suscripción.This part may be performed by the administrator in a different organization that owns the subscription.

  1. Declare las variables.Declare your variables. Asegúrese de reemplazar los valores por los que desea usar para su configuración.Be sure to replace the values with the ones that you want to use for your configuration.

    $Sub5 = "Replace_With_the_New_Subscription_Name"
    $RG5 = "TestRG5"
    $Location5 = "Japan East"
    $VnetName5 = "TestVNet5"
    $FESubName5 = "FrontEnd"
    $BESubName5 = "Backend"
    $GWSubName5 = "GatewaySubnet"
    $VnetPrefix51 = "10.51.0.0/16"
    $VnetPrefix52 = "10.52.0.0/16"
    $FESubPrefix5 = "10.51.0.0/24"
    $BESubPrefix5 = "10.52.0.0/24"
    $GWSubPrefix5 = "10.52.255.0/27"
    $GWName5 = "VNet5GW"
    $GWIPName5 = "VNet5GWIP"
    $GWIPconfName5 = "gwipconf5"
    $Connection51 = "VNet5toVNet1"
    
  2. Conéctese con la suscripción 5.Connect to subscription 5. Abre la consola de PowerShell y conéctate a tu cuenta.Open your PowerShell console and connect to your account. Use el siguiente ejemplo para ayudarle a conectarse:Use the following sample to help you connect:

    Connect-AzAccount
    

    Compruebe las suscripciones para la cuenta.Check the subscriptions for the account.

    Get-AzSubscription
    

    Especifique la suscripción que desea usar.Specify the subscription that you want to use.

    Select-AzSubscription -SubscriptionName $Sub5
    
  3. Cree un nuevo grupo de recursos.Create a new resource group.

    New-AzResourceGroup -Name $RG5 -Location $Location5
    
  4. Cree las configuraciones de subred para TestVNet5.Create the subnet configurations for TestVNet5.

    $fesub5 = New-AzVirtualNetworkSubnetConfig -Name $FESubName5 -AddressPrefix $FESubPrefix5
    $besub5 = New-AzVirtualNetworkSubnetConfig -Name $BESubName5 -AddressPrefix $BESubPrefix5
    $gwsub5 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName5 -AddressPrefix $GWSubPrefix5
    
  5. Cree TestVNet5.Create TestVNet5.

    New-AzVirtualNetwork -Name $VnetName5 -ResourceGroupName $RG5 -Location $Location5 `
    -AddressPrefix $VnetPrefix51,$VnetPrefix52 -Subnet $fesub5,$besub5,$gwsub5
    
  6. Pida una dirección IP pública.Request a public IP address.

    $gwpip5 = New-AzPublicIpAddress -Name $GWIPName5 -ResourceGroupName $RG5 `
    -Location $Location5 -AllocationMethod Dynamic
    
  7. Establezca la configuración de la puerta de enlace.Create the gateway configuration.

    $vnet5 = Get-AzVirtualNetwork -Name $VnetName5 -ResourceGroupName $RG5
    $subnet5  = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet5
    $gwipconf5 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName5 -Subnet $subnet5 -PublicIpAddress $gwpip5
    
  8. Cree la puerta de enlace de TestVNet5.Create the TestVNet5 gateway.

    New-AzVirtualNetworkGateway -Name $GWName5 -ResourceGroupName $RG5 -Location $Location5 `
    -IpConfigurations $gwipconf5 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1
    

Paso 8: Creación de las conexionesStep 8 - Create the connections

En este ejemplo, como las puertas de enlace están en suscripciones diferentes, hemos dividido el paso en dos sesiones de PowerShell marcadas como [Suscripción 1] y [Suscripción 5].In this example, because the gateways are in the different subscriptions, we've split this step into two PowerShell sessions marked as [Subscription 1] and [Subscription 5].

  1. [Suscripción 1] Obtenga la puerta de enlace de red virtual para la suscripción 1.[Subscription 1] Get the virtual network gateway for Subscription 1. Inicie sesión y conéctese a la Suscripción 1 antes de ejecutar el siguiente ejemplo:Sign in and connect to Subscription 1 before running the following example:

    $vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
    

    Copie la salida de los siguientes elementos y envíesela al administrador de la suscripción 5 por correo electrónico u otro método.Copy the output of the following elements and send these to the administrator of Subscription 5 via email or another method.

    $vnet1gw.Name
    $vnet1gw.Id
    

    Estos dos elementos tendrán valores similares a la salida de ejemplo siguiente:These two elements will have values similar to the following example output:

    PS D:\> $vnet1gw.Name
    VNet1GW
    PS D:\> $vnet1gw.Id
    /subscriptions/b636ca99-6f88-4df4-a7c3-2f8dc4545509/resourceGroupsTestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW
    
  2. [Suscripción 5] Obtenga la puerta de enlace de red virtual para la suscripción 5.[Subscription 5] Get the virtual network gateway for Subscription 5. Inicie sesión y conéctese a la Suscripción 5 antes de ejecutar el siguiente ejemplo:Sign in and connect to Subscription 5 before running the following example:

    $vnet5gw = Get-AzVirtualNetworkGateway -Name $GWName5 -ResourceGroupName $RG5
    

    Copie la salida de los siguientes elementos y envíesela al administrador de la suscripción 1 por correo electrónico u otro método.Copy the output of the following elements and send these to the administrator of Subscription 1 via email or another method.

    $vnet5gw.Name
    $vnet5gw.Id
    

    Estos dos elementos tendrán valores similares a la salida de ejemplo siguiente:These two elements will have values similar to the following example output:

    PS C:\> $vnet5gw.Name
    VNet5GW
    PS C:\> $vnet5gw.Id
    /subscriptions/66c8e4f1-ecd6-47ed-9de7-7e530de23994/resourceGroups/TestRG5/providers/Microsoft.Network/virtualNetworkGateways/VNet5GW
    
  3. [Suscripción 1] Cree la conexión entre TestVNet1 y TestVNet5.[Subscription 1] Create the TestVNet1 to TestVNet5 connection. En este paso, creará la conexión de TestVNet1 a TestVNet5.In this step, you create the connection from TestVNet1 to TestVNet5. La diferencia en este caso es que no se puede obtener $vnet5gw directamente porque está en una suscripción diferente.The difference here is that $vnet5gw cannot be obtained directly because it is in a different subscription. Debe crear un nuevo objeto de PowerShell con los valores que se le hayan proporcionado para la suscripción 1 en los pasos anteriores.You will need to create a new PowerShell object with the values communicated from Subscription 1 in the steps above. Use el ejemplo siguiente.Use the example below. Reemplace el nombre (Name), el identificador (Id) y la clave compartida por sus propios valores.Replace the Name, Id, and shared key with your own values. Lo importante es que la clave compartida coincida en ambas conexiones.The important thing is that the shared key must match for both connections. Se tardará unos momentos en terminar de crear la conexión.Creating a connection can take a short while to complete.

    Conéctese a Suscripción 1 antes de ejecutar el ejemplo siguiente:Connect to Subscription 1 before running the following example:

    $vnet5gw = New-Object -TypeName Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
    $vnet5gw.Name = "VNet5GW"
    $vnet5gw.Id   = "/subscriptions/66c8e4f1-ecd6-47ed-9de7-7e530de23994/resourceGroups/TestRG5/providers/Microsoft.Network/virtualNetworkGateways/VNet5GW"
    $Connection15 = "VNet1toVNet5"
    New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet5gw -Location $Location1 -ConnectionType Vnet2Vnet -SharedKey 'AzureA1b2C3'
    
  4. [Suscripción 5] Cree la conexión entre TestVNet5 y TestVNet1.[Subscription 5] Create the TestVNet5 to TestVNet1 connection. Este paso es similar al anterior, salvo en que se crea la conexión de TestVNet5 a TestVNet1.This step is similar to the one above, except you are creating the connection from TestVNet5 to TestVNet1. Aquí también se aplica el mismo proceso de creación de un objeto de PowerShell basándose en los valores obtenidos de la suscripción 1.The same process of creating a PowerShell object based on the values obtained from Subscription 1 applies here as well. En este paso, asegúrese de que las claves compartidas coincidan.In this step, be sure that the shared keys match.

    Conéctese a Suscripción 5 antes de ejecutar el ejemplo siguiente:Connect to Subscription 5 before running the following example:

    $vnet1gw = New-Object -TypeName Microsoft.Azure.Commands.Network.Models.PSVirtualNetworkGateway
    $vnet1gw.Name = "VNet1GW"
    $vnet1gw.Id = "/subscriptions/b636ca99-6f88-4df4-a7c3-2f8dc4545509/resourceGroups/TestRG1/providers/Microsoft.Network/virtualNetworkGateways/VNet1GW "
    $Connection51 = "VNet5toVNet1"
    New-AzVirtualNetworkGatewayConnection -Name $Connection51 -ResourceGroupName $RG5 -VirtualNetworkGateway1 $vnet5gw -VirtualNetworkGateway2 $vnet1gw -Location $Location5 -ConnectionType Vnet2Vnet -SharedKey 'AzureA1b2C3'
    

Comprobación de una conexiónHow to verify a connection

Importante

Cuando trabaje con subredes de la puerta de enlace, evite asociar un grupo de seguridad de red (NSG) a la subred de la puerta de enlace.When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. La asociación de un grupo de seguridad de red a esta subred puede causar que la puerta de enlace de la red virtual (VPN, puerta de enlace de Express Route) deje de funcionar como cabría esperar.Associating a network security group to this subnet may cause your Virtual Network gateway(VPN, Express Route gateway) to stop functioning as expected. Para más información acerca de los grupos de seguridad de red, consulte ¿Qué es un grupo de seguridad de red?For more information about network security groups, see What is a network security group?

Puede comprobar que la conexión se realizó correctamente mediante el uso del cmdlet "Get-AzVirtualNetworkGatewayConnection", con o sin "-Debug".You can verify that your connection succeeded by using the 'Get-AzVirtualNetworkGatewayConnection' cmdlet, with or without '-Debug'.

  1. Puede usar el siguiente ejemplo de cmdlet, configurando los valores para que coincidan con los tuyos.Use the following cmdlet example, configuring the values to match your own. Cuando se le pida, seleccione "A" para ejecutar "todo".If prompted, select 'A' in order to run 'All'. En el ejemplo, " -Name" hace referencia al nombre de la conexión que desea probar.In the example, '-Name' refers to the name of the connection that you want to test.

    Get-AzVirtualNetworkGatewayConnection -Name VNet1toSite1 -ResourceGroupName TestRG1
    
  2. Cuando el cmdlet haya finalizado, consulte los valores.After the cmdlet has finished, view the values. En el ejemplo siguiente, el estado de conexión aparece como "Conectado" y pueden verse los bytes de entrada y salida.In the example below, the connection status shows as 'Connected' and you can see ingress and egress bytes.

    "connectionStatus": "Connected",
    "ingressBytesTransferred": 33509044,
    "egressBytesTransferred": 4142431
    

P+F sobre conexiones de red virtual a red virtualVNet-to-VNet FAQ

Las preguntas más frecuentes sobre red virtual a red virtual se aplican a las conexiones de VPN Gateway.The VNet-to-VNet FAQ applies to VPN gateway connections. Para más información sobre el emparejamiento de redes virtuales, consulte Emparejamiento de redes virtuales.For information about VNet peering, see Virtual network peering.

¿Cobra Azure por el tráfico entre redes virtuales?Does Azure charge for traffic between VNets?

El tráfico entre redes virtuales dentro de la misma región es gratuito en ambas direcciones cuando se usa una conexión de puerta de enlace de VPN.VNet-to-VNet traffic within the same region is free for both directions when you use a VPN gateway connection. El tráfico de salida de red virtual a red virtual entre regiones se cobra según las tarifas de transferencia de datos de salida entre redes virtuales en función de las regiones de origen.Cross-region VNet-to-VNet egress traffic is charged with the outbound inter-VNet data transfer rates based on the source regions. Para más información, consulte la página de precios de VPN Gateway.For more information, see VPN Gateway pricing page. Si conecta las redes virtuales mediante el emparejamiento de redes virtuales en lugar de una puerta de enlace de red virtual, consulte los precios de redes virtuales.If you're connecting your VNets by using VNet peering instead of a VPN gateway, see Virtual network pricing.

¿Viaja el tráfico entre dos redes virtuales a través de Internet?Does VNet-to-VNet traffic travel across the internet?

No.No. Viaja por la red troncal de Microsoft Azure, no por Internet.VNet-to-VNet traffic travels across the Microsoft Azure backbone, not the internet.

¿Puedo establecer una conexión entre dos redes virtuales a través de los inquilinos de Azure Active Directory (AAD)?Can I establish a VNet-to-VNet connection across Azure Active Directory (AAD) tenants?

Sí, las conexiones entre dos redes virtuales que usan puertas de enlace de VPN de Azure funcionan en los inquilinos de AAD.Yes, VNet-to-VNet connections that use Azure VPN gateways work across AAD tenants.

¿Es seguro el tráfico entre dos redes virtuales?Is VNet-to-VNet traffic secure?

Sí, se protege mediante cifrado IPsec/IKE.Yes, it's protected by IPsec/IKE encryption.

¿Necesito un dispositivo VPN para conectar redes virtuales?Do I need a VPN device to connect VNets together?

No.No. La conexión simultánea de varias redes virtuales de Azure no requiere dispositivos VPN, a menos que sea necesaria la conectividad entre locales.Connecting multiple Azure virtual networks together doesn't require a VPN device unless cross-premises connectivity is required.

¿Deben estar mis redes virtuales en la misma región?Do my VNets need to be in the same region?

No.No. Las redes virtuales pueden estar en la misma región de Azure o en regiones distintas (ubicaciones).The virtual networks can be in the same or different Azure regions (locations).

Si las redes virtuales no están en la misma suscripción, ¿las suscripciones tienen que estar asociadas con el mismo inquilino de Active Directory?If the VNets aren't in the same subscription, do the subscriptions need to be associated with the same Active Directory tenant?

No.No.

¿Puedo usar una conexión entre redes virtuales para conectar redes virtuales en instancias independientes de Azure?Can I use VNet-to-VNet to connect virtual networks in separate Azure instances?

No.No. La conexión entre redes virtuales permite conectar redes virtuales dentro de la misma instancia de Azure.VNet-to-VNet supports connecting virtual networks within the same Azure instance. Por ejemplo, no puede crear una conexión entre instancias de Azure del gobierno estadounidense, chino o alemán con una instancia global de Azure.For example, you can’t create a connection between global Azure and Chinese/German/US government Azure instances. Considere la posibilidad de usar una conexión VPN de sitio a sitio en estos escenarios.Consider using a Site-to-Site VPN connection for these scenarios.

¿Puedo usar las conexiones entre dos redes virtuales con conexiones multisitio?Can I use VNet-to-VNet along with multi-site connections?

Sí.Yes. La conectividad de red virtual se puede usar de forma simultánea con VPN de varios sitios.Virtual network connectivity can be used simultaneously with multi-site VPNs.

¿A cuántos sitios locales y redes virtuales se puede conectar una red virtual?How many on-premises sites and virtual networks can one virtual network connect to?

Consulte la tabla Requisitos de la puerta de enlace.See the Gateway requirements table.

¿Puedo usar la conexión entre dos redes virtuales para conectar máquinas virtuales o servicios en la nube fuera de una red virtual?Can I use VNet-to-VNet to connect VMs or cloud services outside of a VNet?

No.No. VNet a VNet admite la conexión de redes virtuales.VNet-to-VNet supports connecting virtual networks. No admite la conexión de máquinas virtuales ni servicios en la nube que no estén en una red virtual.It doesn't support connecting virtual machines or cloud services that aren't in a virtual network.

¿Abarca redes virtuales un servicio en la nube o un punto de conexión de equilibrio de carga?Can a cloud service or a load-balancing endpoint span VNets?

No.No. Un servicio en la nube o un punto de conexión de equilibrio de carga no puede abarcar varias redes virtuales, aunque estas estén conectadas entre sí.A cloud service or a load-balancing endpoint can't span across virtual networks, even if they're connected together.

¿Puedo usar un tipo de VPN PolicyBased para las conexiones entre dos redes virtuales o multisitio?Can I use a PolicyBased VPN type for VNet-to-VNet or Multi-Site connections?

No.No. Las conexiones entre dos redes virtuales y multisitio requieren puertas de enlace de VPN de Azure con tipos de VPN RouteBased (antes denominado enrutamiento dinámico).VNet-to-VNet and Multi-Site connections require Azure VPN gateways with RouteBased (previously called dynamic routing) VPN types.

¿Puedo conectar una red virtual con un tipo de VPN RouteBased a otra red virtual con un tipo de VPN PolicyBased?Can I connect a VNet with a RouteBased VPN Type to another VNet with a PolicyBased VPN type?

No, ambas redes virtuales TIENEN que usar VPN basadas en enrutamiento (antes denominado enrutamiento dinámico).No, both virtual networks MUST use route-based (previously called dynamic routing) VPNs.

¿Comparten ancho de banda los túneles de VPN?Do VPN tunnels share bandwidth?

Sí.Yes. Todos los túneles de VPN de la red virtual comparten el ancho de banda disponible en la puerta de enlace de VPN de Azure y el mismo SLA de tiempo de actividad de puerta de enlace de VPN en Azure.All VPN tunnels of the virtual network share the available bandwidth on the Azure VPN gateway and the same VPN gateway uptime SLA in Azure.

¿Se admiten túneles redundantes?Are redundant tunnels supported?

Los túneles redundantes entre dos redes virtuales se admiten cuando la puerta de enlace de una red virtual está configurada como activa-activa.Redundant tunnels between a pair of virtual networks are supported when one virtual network gateway is configured as active-active.

¿Puedo tener espacios de direcciones superpuestos para configuraciones de red virtual a red virtual?Can I have overlapping address spaces for VNet-to-VNet configurations?

No.No. No puede tener intervalos de direcciones de IP superpuestos.You can't have overlapping IP address ranges.

¿Puede haber espacios de direcciones superpuestos entre las redes virtuales conectadas y los sitios locales?Can there be overlapping address spaces among connected virtual networks and on-premises local sites?

No.No. No puede tener intervalos de direcciones de IP superpuestos.You can't have overlapping IP address ranges.

Pasos siguientesNext steps