Este artículo muestra cómo configurar una conexión multi-sitio de Azure (puertas de enlace de red virtual/VNet) a través de VPN IPsec sitio a sitio usando VPN basada en rutas y BGP sobre IKEv2 (series USG FLEX / ATP / VPN).
Introducción
Este tipo de conexión es una variación de la conexión sitio a sitio. Creas más de una conexión VPN desde tu puerta de enlace de red virtual, normalmente conectando a múltiples sitios locales.
Cuando trabajas con múltiples conexiones, debes usar un tipo de VPN basada en rutas (conocido como puerta de enlace dinámica al trabajar con VNets clásicas). Debido a que cada red virtual solo puede tener una puerta de enlace VPN, todas las conexiones a través de la puerta de enlace comparten el ancho de banda disponible. Esto a menudo se llama una conexión "multi-sitio".
Antes de comenzar
Antes de comenzar la configuración, verifica que tienes lo siguiente:
- -Tienes una red virtual de Azure creada usando el modelo de implementación Resource Manager
- -La puerta de enlace de red virtual para tu VNet es basada en rutas (RouteBased). Si tienes una puerta de enlace VPN basada en políticas, debes eliminar la puerta de enlace de red virtual y crear una nueva puerta de enlace VPN basada en rutas.
- -Ninguno de los rangos de direcciones de cada sitio de red local se superpone con ninguno de los VNets a los que esta VNet se conecta.
- -Una dirección IPv4 pública externa para cada dispositivo ZyWALL. La dirección IP no puede estar detrás de un NAT. Esto es un requisito.
1. Crear una red virtual (VNet)
1. Desde un navegador, navega al portal de Azure e inicia sesión con tu cuenta de Azure.
2. Haz clic en Crear un recurso. En el campo Buscar en el marketplace, escribe 'virtual network'. Ubica Red virtual en la lista que aparece y haz clic para abrir la página de Red virtual.
3. Cerca del final de la página de Red virtual, en la lista Seleccionar un modelo de implementación, selecciona Resource Manager y luego haz clic en Crear. Esto abre la página 'Crear red virtual'.
2. Crear la subred de la puerta de enlace
La puerta de enlace de red virtual usa una subred específica llamada subred de puerta de enlace. Es parte del espacio de direcciones IP de la red virtual que especificas al crear tu red virtual. Contiene direcciones IP que los recursos y servicios de la puerta de enlace de red virtual usan.
1. En el portal, navega a la red virtual para la que quieres crear una puerta de enlace de red virtual.
2. En la sección Configuración de la página de tu VNet, haz clic en Subredes para expandir la página de Subredes.
3. En la página Subredes, haz clic en + Subred de puerta de enlace en la parte superior para abrir la página Agregar subred.
4. El Nombre de tu subred se rellena automáticamente con el valor 'GatewaySubnet'. El valor GatewaySubnet es obligatorio para que Azure reconozca la subred como la subred de puerta de enlace. Ajusta los valores de Rango de direcciones rellenados automáticamente para que coincidan con tus requisitos de configuración.
5. Para crear la subred, haz clic en Aceptar en la parte inferior de la página.
3. Crear la puerta de enlace VPN
1. En el lado izquierdo de la página del portal, haz clic en + y escribe 'Puerta de enlace de red virtual' en la búsqueda. En Resultados, ubica y haz clic en Puerta de enlace de red virtual.
2. En la parte inferior de la página 'Puerta de enlace de red virtual', haz clic en Crear. Esto abre la página Crear puerta de enlace de red virtual.
3. En la página Crear puerta de enlace de red virtual, especifica los valores para tu puerta de enlace de red virtual.
· Nombre: Vnet1GW
· Tipo de puerta de enlace: VPN
· Tipo de VPN: selecciona el tipo de VPN basada en rutas
· SKU: VpnGw1
BGP es compatible en Azure con VpnGw1, VpnGw2, VpnGw3, Standard y HighPerformance SKU.
El SKU Básico NO es compatible. Aquí necesitas seleccionar al menos VpnGw1.
· Red virtual: Haz clic en Red virtual/Seleccionar una red virtual para abrir la página Seleccionar una red virtual. Selecciona VNet1.
· Dirección IP pública: Esta configuración especifica el objeto de dirección IP pública que se asociará con la puerta de enlace VPN.
-Deja seleccionado Crear nuevo.
-En el cuadro de texto, escribe un Nombre para tu dirección IP pública. Para este ejercicio, usa VNet1GWIP.
· Marca la opción Configurar ASN BGP y escribe el número ASN. Azure reserva los siguientes ASN para emparejamientos internos y externos:
· ASN públicos: 8074, 8075, 12076
· ASN privados: 65515, 65517, 65518, 65519, 65520
· Ubicación: selecciona la misma ubicación que tu VNet
4. Haz clic en Crear para comenzar a crear la puerta de enlace VPN.
Después de que la puerta de enlace se cree, en el lado izquierdo de la página del portal, haz clic en Todos los recursos y entra en la puerta de enlace de red virtual para ver más información. La dirección IP pública aparecerá en el lado derecho.
4. Obtener la dirección IP del par BGP de Azure
Necesitas obtener la dirección IP del par BGP de esta puerta de enlace VPN. Esta dirección es necesaria para configurar en tu ZyWALL como el vecino BGP.
Abre la página de configuración de tu puerta de enlace VPN de Azure para obtenerla.
5. Crear la puerta de enlace de red local
La puerta de enlace de red local normalmente se refiere a tu ubicación local. Le das un nombre al sitio para que Azure pueda referirse a él, luego especificas la dirección IP del dispositivo ZyWALL local al que crearás una conexión.
1. En el portal, haz clic en +Crear un recurso.
2. En el cuadro de búsqueda, escribe Puerta de enlace de red local, luego presiona Enter para buscar. Esto mostrará una lista de resultados. Haz clic en Puerta de enlace de red local, luego haz clic en el botón Crear para abrir la página Crear puerta de enlace de red local.
3. En la página Crear puerta de enlace de red local, especifica los valores para tu puerta de enlace de red local.
La parte más importante es la lista de espacio de direcciones. Aquí va la dirección IP del par BGP de tu ZyWALL, usualmente la dirección IP de la interfaz de túnel VTI. En este ejemplo, es 10.1.254.1/32
Marca Configurar ajustes BGP y escribe el ASN BGP de tu ZyWALL.
Dirección IP del par BGP: escribe la dirección IP de tu interfaz VTI en ZyWALL. En este ejemplo es 10.1.254.1
6. Crear la conexión VPN
1. Navega y abre la página de tu puerta de enlace de red virtual.
2. En la página de VNet1GW, haz clic en Conexiones. En la parte superior de la página Conexiones, haz clic en +Agregar para abrir la página Agregar conexión.
3. En la página Agregar conexión, configura los valores para tu conexión. Selecciona Sitio a sitio (IPSec) como tipo de conexión.
Escribe la Clave compartida (PSK) que necesitas para configurar el mismo valor que la Clave precompartida en la página de configuración de la puerta de enlace VPN de tu ZyWALL.
Nota: La clave precompartida debe tener entre 8 y 32 caracteres.
7. Habilitar BGP en la conexión VPN de Azure
1. Navega y abre la página para la conexión VPN de Azure creada.
2. Haz clic en Configuración para abrir la página de configuración
3. Habilita BGP y luego haz clic en Guardar
Después de terminar la configuración de la VPN en el portal de Azure, puedes configurar los ajustes VPN relacionados en tu ZyWALL.
8. Crear la regla de la puerta de enlace VPN (Fase 1)
En la interfaz web de ZyWALL, ve a CONFIGURACIÓN > VPN > VPN IPSec > Puerta de enlace VPN, haz clic en Agregar para crear una regla de puerta de enlace VPN.
En la página Agregar puerta de enlace VPN, especifica los valores para tu puerta de enlace de red virtual.
· Habilitar: marca la casilla Habilitar para activar esta regla
· Nombre: “Azure” como nombre de la regla en este ejemplo
· Versión IKE: IKEv2
· Dirección de la puerta de enlace par: selecciona dirección estática y rellena la dirección IP pública de la puerta de enlace de red virtual de Azure en el campo Primario
· Clave precompartida: rellena la Clave Compartida (PSK) de la conexión VPN de Azure
· Tiempo de vida de SA: 28800 segundos
· Algoritmo de cifrado: conserva el valor predeterminado, AES128
· Algoritmo de autenticación: conserva el valor predeterminado, SHA1
· Grupo de claves: conserva el valor predeterminado, DH2
9. Crear la regla de conexión VPN (Fase 2)
En la interfaz web de ZyWALL, ve a CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN, haz clic en Agregar para crear una regla de conexión VPN.
En la página Agregar conexión VPN, especifica los valores para tu puerta de enlace de red virtual.
· Habilitar: marca la casilla Habilitar para activar esta regla
· Nombre: “Azure” como nombre de la regla en este ejemplo
· MSS TCP: 1379 Bytes
· Escenario de aplicación: selecciona Interfaz de túnel VPN para VPN basada en rutas
· Puerta de enlace VPN: selecciona “Azure.”
· Tiempo de vida de SA: 3600 segundos
· Algoritmo de cifrado: selecciona AES256
· Algoritmo de autenticación: conserva el valor predeterminado, SHA1
· PFS: selecciona ninguno
Nota: El algoritmo de cifrado de la Fase 2 debe seleccionarse como AES256 solamente para ser totalmente compatible con la puerta de enlace VPN de Azure.
10. Crear una interfaz VTI
En la interfaz web de ZyWALL, ve a CONFIGURACIÓN > Red > Interfaz > VTI, haz clic en Agregar para crear una interfaz VTI
· Nombre de la interfaz: vti0
· Zona: IPSec_VPN
· Regla VPN: Azure
· Dirección IP: 10.1.245.1
· Máscara de subred: 255.255.255.252
11. Crear rutas estáticas para el par BGP
En la interfaz web de ZyWALL, ve a CONFIGURACIÓN > Red > Enrutamiento > Ruta estática.
Agrega una ruta a la subred de la puerta de enlace de Azure, en este ejemplo es 10.0.0.0/29
Esta es la ruta para la conexión TCP de BGP a la dirección IP del par BGP de Azure.
12. Configurar BGP
En la interfaz web de ZyWALL, ve a CONFIGURACIÓN > Red > Enrutamiento > BGP
1. Escribe el ASN BGP de este sitio
2. Escribe el ID de router de este ZyWALL. Usualmente, será la dirección IP de la interfaz LAN de tu ZyWALL.
3. Agrega el par BGP de Azure como vecino. Escribe la dirección IP del par BGP de Azure. Escribe el ASN BGP de Azure VNet. Habilita eBGP Multihop.
Selecciona la interfaz VTI como la fuente del paquete BGP enviado entre pares
4. Agrega las entradas de router que quieres anunciar al par BGP de Azure

Comentarios
0 comentariosInicie sesión para dejar un comentario.