Simulación de la conectividad de red remota mediante Azure VNG

Visión general

Es posible que las organizaciones quieran ampliar las funcionalidades de Microsoft Entra Internet Access a redes completas, no solo a dispositivos individuales. Pueden instalar el cliente de acceso seguro global en estos dispositivos. En este artículo se muestra cómo ampliar estas funcionalidades a una red virtual Azure hospedada en la nube. Puede aplicar principios similares al equipo de red local de un cliente.

Requisitos previos

Para completar los pasos de este proceso, necesita los siguientes requisitos previos:

Componentes de la red virtual

Al crear esta funcionalidad en Azure, su organización puede comprender mejor cómo funciona Microsoft Entra Internet Access en una implementación más amplia. Los recursos que cree en Azure corresponden a conceptos locales de las siguientes maneras:

Diagrama que muestra una red virtual en Azure conectada a Microsoft Entra Internet Access para simulando la red de un cliente.

recurso de Azure Componente local tradicional
Red virtual El espacio de direcciones IP local
Puerta de enlace de red virtual Su enrutador local, que a veces se conoce como equipo local del cliente (CPE)
Puerta de enlace de red local La puerta de enlace de Microsoft para la que el enrutador (puerta de enlace de red virtual de Azure) crea un túnel IPsec
Conexión Túnel VPN de IPsec creado entre la puerta de enlace de red virtual y la puerta de enlace de red local
Máquina virtual Dispositivos cliente en la red local

En este artículo, use los siguientes valores predeterminados. Puede cambiar esta configuración para que se ajuste a sus propios requisitos.

  • Subscription: Visual Studio Enterprise
  • Nombre del grupo de recursos: Network_Simulation
  • Región: Este de EE. UU.

Pasos de alto nivel

Complete los pasos para simular la conectividad de red remota con redes virtuales de Azure en el portal de Azure y el Centro de administración de Microsoft Entra. Puede ser útil tener varias pestañas abiertas para que pueda cambiar entre ellas fácilmente.

Antes de crear los recursos virtuales, necesita un grupo de recursos y una red virtual para usarlos en las secciones siguientes. Si ya tiene configurado un grupo de recursos de prueba y una red virtual, puede empezar en el paso 3.

  1. Crear un grupo de recursos (Azure portal)
  2. Crear una red virtual (Azure portal)
  3. Crear una puerta de enlace de red virtual (portal de Azure)
  4. Crear una red remota con vínculos de dispositivo (Microsoft Entra admin center)
  5. Crear puerta de enlace de red local (portal de Azure)
  6. Crear una conexión VPN de sitio a sitio (S2S) (Azure portal)
  7. Comprobar la conectividad de (ambos)

Crear un grupo de recursos

Crear un grupo de recursos que contenga todos los recursos necesarios.

  1. Inicie sesión en el portal Azure con permiso para crear recursos.
  2. Vaya a Grupos de recursos.
  3. Seleccione Crear.
  4. Seleccione la suscripción y la región y escriba un nombre para el grupo de recursos.
  5. Seleccione Revisar + crear.
  6. Confirme los detalles y, a continuación, seleccione Crear.

Captura de pantalla que muestra la creación de campos de un grupo de recursos.

Creación de una red virtual

Cree una red virtual dentro del nuevo grupo de recursos.

  1. En el portal de Azure, vaya a Virtual Networks.
  2. Seleccione Crear.
  3. Seleccione el grupo de recursos que acaba de crear.
  4. Escriba el nombre de la red virtual.
  5. Deje los valores predeterminados para los demás campos.
  6. Seleccione Revisar + crear.
  7. Seleccione Crear.

Captura de pantalla que muestra la creación de campos de red virtual.

Creación de una puerta de enlace de red virtual

Cree una puerta de enlace de red virtual dentro del nuevo grupo de recursos.

  1. En el portal de Azure, vaya a Puertas de enlace de red virtuales.

  2. Seleccione Crear.

  3. Escriba un nombre para la puerta de enlace de red virtual y seleccione la región adecuada.

  4. Seleccione la red virtual.

    Screenshot del portal de Azure que muestra los valores de configuración de una puerta de enlace de red virtual.

  5. Cree una dirección IP pública y escriba un nombre descriptivo.

    • OPCIONAL: Si desea un túnel IPsec secundario, en la sección SECOND PUBLIC IP ADDRESS (SEGUNDA DIRECCIÓN IP PÚBLICA ), cree otra dirección IP pública y escriba un nombre. Si crea un segundo túnel IPsec, deberá crear dos vínculos de dispositivo en el paso Crear una red remota.
    • Establezca Modo activo-activo habilitado en Deshabilitado si no necesita una segunda dirección IP pública.
    • El ejemplo de este artículo utiliza un único túnel IPsec.

  6. Seleccione una zona de disponibilidad.

  7. Establezca Configurar BGP en Enabled.

  8. Establezca el número de sistema autónomo (ASN) en un valor adecuado. Consulte la lista de valores de ASN válidos para ver los valores reservados que no se pueden usar.

    Captura de pantalla de los campos de dirección IP para crear una pasarela de red virtual.

  9. Deje el resto de la configuración como valores predeterminados o en blanco.

  10. Seleccione Revisar + crear. Confirme la configuración.

  11. Seleccione Crear.

Nota:

La implementación y creación de la puerta de enlace de red virtual puede tardar varios minutos. Puede iniciar la sección siguiente mientras se crea, pero necesita las direcciones IP públicas de la puerta de enlace de red virtual para completar el paso siguiente.

Para ver estas direcciones IP, navegue a la página Configuración de la puerta de enlace de red virtual después de la implementación.

Captura de pantalla que muestra cómo buscar las direcciones IP públicas de una puerta de enlace de red virtual.

Creación de una red remota

Cree una red remota en el Microsoft Entra admin center. Escriba la información en dos conjuntos de pestañas.

Captura de pantalla de los dos conjuntos de pestañas utilizados en el proceso.

Los pasos siguientes proporcionan la información básica necesaria para crear una red remota con acceso seguro global. Dos artículos independientes tratan este proceso con más detalle. Para evitar confusiones, revise estos artículos:

Redundancia de zona

Antes de crear la red remota para acceso seguro global, revise las dos opciones sobre redundancia. Puede crear redes remotas con o sin redundancia. Agregue redundancia de dos maneras:

  • Elija Redundancia de zona al crear un vínculo de dispositivo en el Microsoft Entra admin center.
    • En este escenario, creará otra puerta de enlace en una zona de disponibilidad diferente dentro de la misma región del centro de datos que ha seleccionado al crear la red remota.
    • En este escenario, solo necesita una dirección IP pública en la puerta de enlace de red virtual.
    • Se crean dos túneles IPSec a partir de la misma dirección IP pública del enrutador a diferentes puertas de enlace de Microsoft en distintas zonas de disponibilidad.
  • Cree una dirección IP pública secundaria en el portal de Azure y cree dos vínculos de dispositivo con direcciones IP públicas diferentes en el Microsoft Entra admin center.
    • Puedes elegir No redundancia al añadir enlaces de dispositivos a tu red remota en el centro de administración de Microsoft Entra.
    • En este escenario, necesita direcciones IP públicas principales y secundarias en la puerta de enlace de red virtual.

Para este artículo, elige la ruta de redundancia de zonas.

Sugerencia

La dirección BGP local debe ser una dirección IP privada que esté fuera del espacio de direcciones de la red virtual asociada a la puerta de enlace de red virtual. Por ejemplo, si el espacio de direcciones de la red virtual es 10.1.0.0/16, puede usar 10.2.0.0 como dirección BGP local.

Consulte la lista de direcciones BGP válidas para ver los valores reservados que no se pueden usar.

  1. Inicie sesión en el Microsoft Entra admin center como Administrador de acceso seguro global.
  2. Vaya a Acceso global seguro>Conectar>Redes remotas.
  3. Seleccione Crear red remota y proporcione los detalles siguientes en la pestaña Aspectos básicos :
    • Nombre
    • Región

Captura de pantalla de la pestaña básica para crear una red remota.

  1. En la pestaña Conectividad, seleccione Agregar un vínculo.

  2. En la pestaña Agregar un vínculo: General, escriba los detalles siguientes:

    • Nombre del vínculo: nombre del equipo local del cliente (CPE).
    • Tipo de dispositivo: elija una de las opciones de dispositivo de la lista desplegable.
    • Dirección IP del dispositivo: dirección IP pública del dispositivo CPE (equipo local del cliente).
    • Dirección BGP del dispositivo: introduzca la dirección IP de BGP del CPE.
      • Escriba esta dirección como dirección IP BGP local en el CPE.
    • ASN del dispositivo: proporcione el número de sistema autónomo (ASN) del CPE.
      • Una conexión habilitada para BGP entre dos puertas de enlace de red requiere que tengan diferentes ASN.
      • Para obtener más información, consulte la sección ASN válidos del artículo Configuraciones de red remota.
    • Redundancia: seleccione Sin redundancia o Redundancia de zona para el túnel IPSec.
    • Dirección BGP local de redundancia de zona: este campo opcional solo aparece cuando se selecciona Redundancia de zona.
      • Introduzca una dirección IP BGP que no forme parte de la red local donde reside el CPE y que sea diferente de la dirección BGP del dispositivo.
    • Capacidad de ancho de banda (Mbps): especifique el ancho de banda del túnel. Las opciones disponibles son 250, 500, 750 y 1000 Mbps.
    • Dirección BGP local: introduzca una dirección IP de BGP que no forme parte de la red local donde reside el CPE.
      • Por ejemplo, si la red local es 10.1.0.0/16, puede usar 10.2.0.4 como dirección BGP local.
      • Introduce esta dirección como la IP BGP de tu CPE .
      • Consulte la lista de direcciones BGP válidas para obtener los valores reservados que no se pueden usar.

    Captura de pantalla de la pestaña Agregar un vínculo: General con ejemplos en cada campo.

  3. En la pestaña Agregar un vínculo - Detalles , mantenga los valores predeterminados a menos que haya realizado una selección diferente anteriormente y seleccione Siguiente.

  4. En la pestaña Agregar un vínculo - Seguridad , escriba la clave previamente compartida (PSK) y seleccione Guardar. Vuelva al principal Crear una red remota conjunto de pestañas.

  5. En la pestaña Perfiles de tráfico, seleccione el perfil de reenvío de tráfico adecuado.

  6. Seleccione Revisar + crear.

  7. Si todo parece correcto, seleccione Crear red remota.

Visualización de la configuración de conectividad

Después de crear una red remota y agregar un vínculo de dispositivo, puede ver los detalles de configuración en el Microsoft Entra admin center. Necesita varios detalles de esta configuración para completar el paso siguiente.

  1. Vaya a Acceso global seguro>Conectar>Redes remotas.

  2. En la última columna de la derecha de la tabla, seleccione Ver configuración para la red remota que creó. La configuración aparece como un blob JSON.

  3. Busque y guarde la dirección IP pública de Microsoft endpoint, asn y bgpAddress en el panel que se abre.

    Captura de pantalla que muestra el panel de configuración de la vista.

En el siguiente diagrama se conectan los detalles clave de estos detalles de configuración a su rol de correlación en la red remota simulada. Una descripción de texto del diagrama sigue la imagen.

Diagrama de las configuraciones de la red remota y dónde se correlacionan los detalles con la red.

El centro del diagrama muestra un grupo de recursos que contiene una máquina virtual conectada a una red virtual. Una puerta de enlace de red virtual se conecta a la puerta de enlace de red local a través de una conexión VPN redundante de sitio a sitio.

Una captura de pantalla de los detalles de conectividad tiene dos secciones resaltadas. La primera sección resaltada en localConfigurations contiene los detalles de la puerta de enlace de acceso seguro global, que es la puerta de enlace de red local.

Puerta de enlace de red local 1

  • Dirección IP pública/punto de conexión: 120.x.x.76
  • ASN: 65476
  • Dirección IP de BGP/bgpAddress: 192.168.1.1

Puerta de enlace de red local 2

  • Dirección IP pública o punto de conexión: 4.x.x.193
  • ASN: 65476
  • Dirección IP de BGP/bgpAddress: 192.168.1.2

La segunda sección resaltada en peerConfiguration contiene los detalles de la puerta de enlace de red virtual, que es el equipo del enrutador local.

Virtual Network Gateway

  • Dirección IP pública o punto de conexión: 20.x.x.1
  • ASN: 65533
  • Dirección IP BGP/bgpAddress: 10.1.1.1

Otra llamada apunta a la red virtual que creó en el grupo de recursos. El espacio de direcciones de la red virtual es 10.2.0.0/16. La dirección BGP local y la dirección BGP del mismo nivel no pueden estar en el mismo espacio de direcciones.

Crear puerta de enlace de red local

Cree una puerta de enlace de red local en el portal de Azure. Necesitas varios detalles de la configuración de la red remota, incluyendo el punto final de la puerta de enlace de Microsoft, ASN y dirección BGP, para completar este paso.

Si seleccionas No redundancia al crear enlaces de dispositivo en el centro de administración de Microsoft Entra, crea un único gateway de red local.

Si selecciona Redundancia de zona, cree dos puertas de enlace de red locales. Tienes dos conjuntos de endpoint, asn, y bgpAddress en localConfigurations para los enlaces de dispositivos. Los detalles View Configuration para esa red remota en el Microsoft Entra admin center proporcionan esta información.

  1. En el portal de Azure, vaya a Puertas de enlace de red local.

  2. Seleccione Crear.

  3. Seleccione el grupo de recursos (por ejemplo, Network_Simulation).

  4. Seleccione la región apropiada.

  5. Proporcione a la puerta de enlace de red local un Nombre.

  6. Para Endpoint, seleccione IP address y proporcione la dirección IP endpoint desde el Microsoft Entra admin center.

  7. Seleccione Siguiente: Opciones avanzadas.

  8. Establezca Configurar BGP en .

  9. Introduzca el número de sistema autónomo (ASN) en la localConfigurations sección Ver detalles de configuración.

  10. Escriba la Dirección IP del mismo nivel BGP en la sección localConfigurations de los detalles Ver la configuración.

    Captura de pantalla de los campos ASN y BGP en el proceso de puerta de enlace de red local.

  11. Seleccione Revisar y crear y confirme la configuración.

  12. Seleccione Crear.

Si configuraste redundancia de zonas al crear enlaces de dispositivo (que proporciona dos conjuntos de puntos finales de la puerta de enlace de Microsoft), repite estos pasos para crear un segundo gateway de red local usando el segundo conjunto de valores de dirección de endpoint, ASN y BGP.

Vaya a Configuraciones para revisar los detalles de la puerta de enlace de red local.

Screenshot del portal de Azure que muestra los valores de configuración de una puerta de enlace de red local.

Creación de una conexión VPN de sitio a sitio (S2S)

Cree una conexión VPN de sitio a sitio en el portal de Azure. Si configuró la redundancia de zona, cree dos conexiones: una para la puerta de enlace principal y otra para la secundaria. Mantenga toda la configuración establecida en el valor predeterminado a menos que se indique.

  1. En el portal de Azure, vaya a Connections.
  2. Seleccione Crear.
  3. Seleccione el grupo de recursos (por ejemplo, Network_Simulation).
  4. En Tipo de conexión, seleccione Sitio a sitio (IPsec).
  5. Escriba un nombre para la conexión y seleccione la región adecuada.
  6. Seleccione Siguiente: Configuración.
  7. Seleccione la puerta de enlace de red virtual y la puerta de enlace de red local.
  8. Introduce la misma clave compartida (PSK) que configuraste para el enlace del dispositivo en la configuración de red remota del centro de administración de Microsoft Entra.
  9. Active la casilla de Habilitar BGP.
  10. Seleccione Revisar + crear. Confirme la configuración.
  11. Seleccione Crear.

Repita estos pasos para crear otra conexión con la segunda puerta de enlace de red local.

Screenshot del portal de Azure que muestra los valores de configuración de una conexión de sitio a sitio.

Verificación de la conectividad

Para comprobar la conectividad, debe simular el flujo de tráfico. Un método consiste en crear una máquina virtual (VM) para iniciar el tráfico.

Simulación del tráfico con una máquina virtual

Para simular el tráfico y comprobar la conectividad, cree una máquina virtual en la red virtual e inicie el tráfico para Microsoft services. Deje toda la configuración establecida en el valor predeterminado a menos que se indique.

  1. En el portal de Azure, vaya a Máquinas virtuales.
  2. Seleccione Crear>máquina virtual de Azure.
  3. Seleccione el grupo de recursos (por ejemplo, Network_Simulation).
  4. Especifique un Nombre de máquina virtual.
  5. Seleccione la imagen que desea usar. En este ejemplo, seleccione Windows 11 Pro, versión 22H2 - x64 Gen2.
  6. Seleccione Ejecutar con descuento de Acceso puntual de Azure para esta prueba.
  7. Proporcione un Nombre de usuario y una Contraseña para la máquina virtual.
  8. Confirme que tiene una licencia válida Windows 10 o 11 con derechos de hospedaje multiinquilino en la parte inferior de la página.
  9. Ve a la pestaña Redes.
  10. Seleccione la red virtual.
  11. Vaya a la pestaña Administración .
  12. Active la casilla Login con Microsoft Entra ID.
  13. Seleccione Revisar + crear. Confirme la configuración.
  14. Seleccione Crear.

Puede optar por bloquear el acceso remoto al grupo de seguridad de red solo a una red o dirección IP específica.

Evitar el enrutamiento asimétrico al conectarse a máquinas virtuales en redes remotas

Al conectar una máquina virtual (VM) de Azure a una red remota de acceso seguro global, no puede usar Remote Desktop Protocol (RDP) as-is para conectarse a la máquina virtual mediante su dirección IP pública. Si desconecta la red remota, RDP vuelve a funcionar. El enrutamiento asimétrico provoca este comportamiento y se espera.

Este es el motivo por el que sucede: la máquina virtual tiene una dirección IP pública, por lo que el tráfico RDP entrante (el paquete SYN) desde el equipo llega directamente a la máquina virtual. Sin embargo, dado que el acceso seguro global anuncia todo el intervalo de direcciones de Internet, el tráfico devuelto de la máquina virtual (el SYN-ACK) se enruta a través del túnel IPsec al acceso seguro global. Global Secure Access recibe un SYN-ACK para una sesión sin SYN correspondiente, por lo que pierde el paquete y la conexión falla. Esta condición hace que la dirección IP pública de la máquina virtual no se pueda usar para las conexiones entrantes.

Soluciones alternativas

Para evitar problemas de enrutamiento asimétrico con redes remotas, use una de estas soluciones alternativas:

  • Uso de Azure Bastion

    Azure Bastion elimina el enrutamiento asimétrico para escenarios de administración remota como RDP. Con Bastion, el equipo se conecta al servicio Bastion a través de HTTPS y Bastion inicia la sesión rdP en la máquina virtual mediante su dirección IP privada. La máquina virtual responde directamente a Bastion dentro de la red virtual. Dado que ambas direcciones de la conexión permanecen dentro de la red virtual, el tráfico nunca pasa a través de la puerta de enlace de acceso seguro global y el enrutamiento permanece simétrico.

  • Uso de VPN de punto a sitio (P2S) con el VNG

    Si configura una puerta de enlace de red virtual (VNG) para conectividad de punto a sitio (P2S, el dispositivo cliente recibe una dirección IP privada del grupo de direcciones VNG mediante el Azure cliente VPN. Todo el tráfico hacia la máquina virtual pasa a través del túnel VNG y regresa de la misma manera, manteniendo el enrutamiento simétrico.

Comprobación del estado de conectividad

Después de crear las redes y conexiones remotas, la conexión puede tardar unos minutos en establecerse. Desde el portal de Azure, puede validar que el túnel VPN está conectado y que el emparejamiento BGP se realiza correctamente.

  1. En el portal de Azure, vaya a la puerta de enlace de red virtual que ha creado y seleccione Conexiones.
  2. Cada una de las conexiones muestra un estado de conectado una vez aplicada y correcta la configuración.
  3. Vaya a del mismo nivel BGP en la sección Supervisión para confirmar que el emparejamiento BGP se ha realizado correctamente. Busque las direcciones del mismo nivel proporcionadas por Microsoft. Una vez aplicada y correcta la configuración, el estado muestra Conectado.

Captura de pantalla que muestra cómo encontrar el estado de conexión de su puerta de enlace de red virtual.

Puede usar la máquina virtual que creó para validar que el tráfico fluye a Microsoft services. La navegación a los recursos de SharePoint o Exchange Online deberá generar tráfico en la puerta de enlace de red virtual. Para ver este tráfico, vaya a Métricas en la puerta de enlace de red virtual o configure la captura de paquetes para las puertas de enlace de VPN.

Sugerencia

Si usa este artículo para probar Microsoft Entra Internet Access, limpie todos los recursos de Azure relacionados mediante la eliminación del nuevo grupo de recursos cuando haya terminado.

Pasos siguientes

  • Last updated on