Implementación de Azure ExpressRoute

  • 15 minutos

El equipo de seguridad de TI de Contoso está preocupado por la implementación de una conexión VPN desde sus centros de datos a la nube de Microsoft. Al investigar las opciones de la puerta de enlace de VPN, usted descubre que ExpressRoute es una posible solución. Con ExpressRoute, las conexiones no pasan por Internet, lo que reduce las posibles amenazas de seguridad para los datos en tránsito entre la infraestructura corporativa de Contoso y los recursos de Azure en los centros de datos de Microsoft.

¿Qué es ExpressRoute?

ExpressRoute proporciona una forma de conectar su organización a los recursos de Azure. Al implementar ExpressRoute, puede implementar las siguientes opciones de conexión:

  • Una conexión VPN universal. Permite integrar su red WAN con Azure. Azure se integra con su conexión WAN para proporcionar una conexión fluida. Con las conexiones universales, todos los proveedores de WAN ofrecen conectividad de nivel 3.
  • Una conexión Ethernet P2P. Proporciona conectividad de nivel 2 y nivel 3 entre su entorno local y Azure. Para conectar sus centros de datos u oficinas con Azure, utilice vínculos P2P.
  • Coubicación de CloudExchange. Normalmente, ofrece conexiones de nivel 2 y nivel 3 entre la infraestructura de su organización, que reside en una instalación coubicada, como un proveedor de servicios de Internet (ISP), y la nube de Microsoft.

Nota:

La conexión de ExpressRoute no se realiza a través de Internet, lo que significa que las conexiones tienen una latencia menor, son de alta velocidad y son más seguras.

En el gráfico siguiente, se muestra un escenario típico de conexiones de ExpressRoute dobles.

Un diagrama identifica formas en las que se pueden usar conexiones de ExpressRoute. En el gráfico, la red de un cliente está conectada a una red perimetral del asociado. Dos conexiones, una principal y una secundaria, se conectan a la red de Microsoft Edge. El tráfico se enruta a través de ambos circuitos al emparejamiento de Microsoft para Office 365 y los servicios relacionados, y también a otras redes virtuales mediante el emparejamiento privado de Azure.

ExpressRoute es una de las tres soluciones que puede usar para conectar la red local a Azure. Las otras dos, S2S y P2S, se describen en la siguiente tabla.

Soluciones alternativas Descripción
VPN S2S Permite conectar su red local a Azure a través de un túnel IPsec/IKE para crear una red híbrida. Para habilitar una conexión S2S, configure un dispositivo VPN en el entorno local con una dirección IP pública. A continuación, conecte el dispositivo a una red virtual de Azure a través de una puerta de enlace de red virtual de Azure.
VPN P2S Permite establecer una conexión segura entre equipos individuales y recursos ubicados en una red local. Esta solución es útil para las organizaciones que quieren habilitar conexiones a Azure desde ubicaciones remotas, como los hogares de los usuarios. Las conexiones P2S son útiles si solo tiene unos pocos clientes que deben conectarse a una red virtual.

Es probable que Azure ExpressRoute sea el servicio más adecuado en los escenarios siguientes:

  • Para organizaciones que están migrando sus sistemas empresariales locales a Azure.
  • Para disponer de redes seguras cuando es recomendable evitar Internet.
  • Para centros de datos de gran tamaño con muchos usuarios y sistemas que acceden a productos y sistemas de software como servicio (SaaS).

Considere el uso de ExpressRoute en los siguientes casos:

  • Para implementar una conexión de baja latencia con servicios basados en la nube.
  • Para acceder a sistemas de gran tamaño basados en la nube que funcionan con grandes volúmenes de datos.
  • Para conectarse a servicios en la nube de Microsoft, como Office 365 y Microsoft Dynamics 365.

Ventajas de ExpressRoute

ExpressRoute ofrece una serie de ventajas con respecto a otras opciones de conectividad, como se describe en la tabla siguiente.

Característica Ventaja
Conectividad de nivel 3 Estas conexiones pueden ser P2P, universales o cruzadas virtuales a través de un intercambio.
Redundancia integrada Cada proveedor de conectividad usa dispositivos redundantes para ofrecer alta disponibilidad.
Conectividad con los Servicios en la nube de Microsoft Admite conexiones a Office 365, Dynamics 365 y servicios de Azure, como Azure Virtual Machines, Azure Cosmos DB y Azure Storage.
Conectividad local con Global Reach de ExpressRoute Permite conectar centros de datos privados mediante varios circuitos de ExpressRoute y que el tráfico entre los centros de datos fluya a través de la red de Microsoft.
Enrutamiento dinámico Permite el enrutamiento dinámico entre la infraestructura de su entorno local y los servicios que se ejecutan en la nube de Microsoft. Utiliza el Protocolo de puerta de enlace de borde (BGP), que intercambia rutas entre las redes locales y los recursos que se ejecutan en Azure.

Funcionamiento

Para implementar ExpressRoute, debe trabajar con un asociado de este servicio. El asociado proporciona una conexión autorizada y autenticada denominada servicio perimetral. A través de este servicio perimetral, puede conectar su organización a la nube de Microsoft. El asociado que seleccione habilita la conexión con el enrutador perimetral de la nube de Microsoft, denominado punto de conexión de ExpressRoute. Las conexiones a través del servicio perimetral al punto de conexión de ExpressRoute se conocen como circuitos. Los circuitos se establecen a través de un vínculo privado, no de Internet.

Requisitos previos

Para poder implementar un circuito de ExpressRoute, su organización debe cumplir varios requisitos previos, entre los que se incluyen:

  • Trabajar con un asociado de conectividad de ExpressRoute o un proveedor de intercambio en la nube.

Nota:

Estas organizaciones facilitan el aprovisionamiento del circuito.

  • Registrar su suscripción de Azure en el asociado de conectividad de ExpressRoute.
  • Solicitar un circuito de ExpressRoute usando una cuenta de Azure activa.
  • Opcionalmente, tener una suscripción de Office 365 activa para conectarse a los servicios de Office 365.

Dado que ExpressRoute funciona emparejando la infraestructura de su entorno local con las redes de la nube de Microsoft, los recursos de sus redes pueden comunicarse directamente con los recursos hospedados por Microsoft. Sin embargo, para posibilitar estos emparejamientos, debe hacer lo siguiente:

  • Asegurarse de que ha configurado las sesiones BGP necesarias para los dominios de enrutamiento.
  • Implementar un servicio de traducción de direcciones de red (NAT) para convertir las direcciones IP privadas que se usan en el entorno local en direcciones IP públicas.
  • Reservar varios bloques de direcciones IP de su red para redirigir el tráfico hacia la nube de Microsoft.

Sugerencia

Estos bloques reservados se configuran como una subred /29 o dos subredes /30 en el espacio de direcciones IP.

Configuración de ExpressRoute

Para facilitar una conexión con los recursos de Microsoft en Azure mediante ExpressRoute, debe realizar una serie de pasos generales para completar el proceso de establecer una conexión de ExpressRoute. Debe:

  • Crear un circuito.
  • Crear una configuración de emparejamiento.
  • Conectar una red virtual a un circuito de ExpressRoute.

Creación de un circuito

Para crear un circuito, inicie sesión en Azure Portal y lleve a cabo este procedimiento:

  1. En Azure Portal, haga clic en Crear un recurso.

  2. Seleccione Redes y elija ExpressRoute.

  3. En la hoja Create ExpressRoute (Crear ExpressRoute), seleccione la Suscripción, el Grupo de recursos y la Región, y escriba un nombre para el circuito.

  4. Seleccione Siguiente: Configuration> (Siguiente: Configuración).

  5. En la ficha Configuración, proporcione la siguiente información:

    • Tipo de puerto. Seleccione Proveedor.
    • Seleccione el Proveedor.
    • Seleccione la Ubicación del emparejamiento.
    • Elija el Ancho de banda.
    • Seleccione la SKU.

    Captura de pantalla de la hoja Crear ExpressRoute, pestaña de Configuración. El tipo de puerto se establece en Proveedor. El proveedor es British Telecom. La ubicación del emparejamiento es Londres. El ancho de banda es de 1 Gbps. La SKU estándar está seleccionada.

  6. Seleccione Revisar y crear y, luego, Crear.

El aprovisionamiento del circuito tarda unos minutos. Una vez completado, abra el recurso recién creado. En la página de información general del circuito, observe que el Estado del circuito es Habilitado, pero el Estado del proveedor es No aprovisionado. Estos valores indican que el lado de Microsoft del circuito está listo para aceptar conexiones, pero que el proveedor no ha configurado todavía su lado del circuito.

Captura de pantalla de la página ContosoExpressRoute en Azure Portal. El estado del circuito está habilitado, pero el estado del proveedor es No aprovisionado.

Creación de la configuración de emparejamiento

El siguiente paso es configurar los emparejamientos. Puede revisar los emparejamientos del circuito en la ficha Información general. Puede crear un emparejamiento privado o público de Azure, o un emparejamiento de Microsoft. En este caso, debe crear un emparejamiento privado de Azure y un emparejamiento de Microsoft.

Configuración del emparejamiento privado

El emparejamiento privado se usa para conectar su red a las redes virtuales que se ejecutan en Azure. Para configurar un emparejamiento privado, debe proporcionar la información siguiente:

  • ASN del mismo nivel. Es el número de sistema autónomo (ASN) de su lado del emparejamiento.
  • Subred principal. Este es un intervalo de direcciones de la subred /30 principal que crea en su red.
  • Subred secundaria. Este es el rango de direcciones de la subred secundaria /30.
  • Id. de VLAN. Esta es la red de área local virtual (VLAN) en la que desea habilitar el emparejamiento.
  • Clave compartida. Esta es una clave opcional que se usa para codificar los mensajes que pasan por el circuito.

Para modificar el emparejamiento privado de Azure, en la hoja Circuito ExpressRoute, en la página Emparejamientos, seleccione Azure privado y configure los valores necesarios.

Configuración del emparejamiento de Microsoft

Use el emparejamiento de Microsoft para conectarse a Office 365 y los servicios relacionados. Para configurar el emparejamiento de Microsoft, debe proporcionar los mismos detalles que para un emparejamiento privado, pero también debe proporcionar la siguiente información:

  • Prefijos públicos anunciados. Esta es una lista de los prefijos de dirección que usará en la sesión BGP.
  • ASN del cliente. Este es un valor opcional.
  • Nombre de registro del enrutamiento. Identifica el registro en el que se registran el ASN y los prefijos públicos de su cliente.

Nota:

El emparejamiento se puede configurar únicamente cuando el estado del Proveedor es Aprovisionado.

Para modificar el emparejamiento de Microsoft, en la hoja Circuito ExpressRoute, en la página Emparejamientos, seleccione Microsoft y configure los valores necesarios.

Captura de pantalla de la hoja de emparejamiento de Microsoft. No se puede configurar ningún valor porque el circuito no está aprovisionado. Sin embargo, los valores configurables son como se ha descrito anteriormente.

Conexión de una red virtual al circuito

Cuando el estado del proveedor sea Aprovisionado y haya configurado los emparejamientos, puede conectar una red virtual al circuito. Para hacerlo, use el procedimiento siguiente:

  1. En Azure Portal, haga clic en Crear un recurso.

  2. Busque y seleccione Puerta de enlace de red virtual.

  3. En la hoja Puerta de enlace de red virtual, seleccione Crear.

  4. En la hoja Crear puerta de enlace de red virtual, cree la puerta de enlace especificando las propiedades correspondientes: Suscripción, Nombre y Región.

  5. En Tipo de puerta de enlace, seleccione ExpressRoute.

    Captura de pantalla de la hoja Crear puerta de enlace de red virtual. El administrador ha configurado los valores descritos en los párrafos anteriores.

  6. Seleccione la SKU y elija la Red virtual a la que desea conectarse.

  7. Configure el Intervalo de direcciones de subred de puerta de enlace y la Dirección IP pública.

  8. Seleccione Revisar y crear y, luego, Crear.

Por último, puede conectar un emparejamiento a una puerta de enlace de red virtual como se indica a continuación:

  1. En la página Circuito ExpressRoute del circuito, seleccione Conexiones.
  2. En la página Conexiones, seleccione Agregar.
  3. En la página Agregar conexión, proporcione el nombre de la conexión y seleccione la puerta de enlace de red virtual.

Una vez finalizada la operación, la red local se conectará a la red virtual de Azure a través de la puerta de enlace de red virtual. La conexión se realizará a través de la conexión ExpressRoute.

Nota:

Solo puede realizar este paso final cuando el estado del Proveedor es Aprovisionado.

Otras lecturas

Para obtener más información, consulte los documentos siguientes: